programa nacional de protecciÓn de datos …
TRANSCRIPT
PROGRAMA NACIONAL
DE PROTECCIÓN DE DATOS
PERSONALES 2018-2022
Directorio
Francisco Javier Acuña Llamas
Comisionado Presidente
Blanca Lilia Ibarra Cadena
Comisionada
María Patricia Kurczyn Villalobos
Comisionada
Josefina Román Vergara
Comisionada
Rosendoevgueni Monterrey Chepov
Comisionado coordinador de la Comisión Permanente de Vinculación con el Sistema Nacional de Transparencia
Oscar Mauricio Guerra Ford
Comisionado integrante de la Comisión Permanente de Vinculación con el Sistema Nacional de Transparencia
Joel Salas Suárez
Comisionado integrante de la Comisión Permanente de Vinculación con el Sistema Nacional de Transparencia
Federico Guzmán Tamayo
Secretario Técnico de la Comisión Permanente de Vinculación con el Sistema Nacional de
Transparencia y Secretario Ejecutivo del Sistema Nacional de Transparencia
Ismael Camargo Mata
Director General Técnico, Seguimiento y Normatividad del Sistema Nacional de Transparencia
Jesús Alejandro Segura Meraz
Consultor de políticas
Instituto Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales
Insurgentes Sur No. 3211 Col. Insurgentes Cuicuilco, Alcaldía Coyoacán, C.P. 04530, Ciudad de México
MENSAJE DE PRESENTACIÓN
Una de las características que se considera indisociable con los regímenes democráticos en el mundo,
radica en la capacidad de los estados, de reconocer el Derecho Humano de Acceso a la Protección de
los Datos Personales, tanto como un medio para el ejercicio pleno de la ciudadanía, como derecho
intrínseco a la persona, cuya práctica y tutela consuetudinaria resulta definitoria para la construcción
de un entorno favorable para el goce de la privacidad, fortaleciendo e impulsando la sociedad de alta
intensidad.
En este sentido, el ánimo progresista que motivó la reforma del artículo 6° constitucional en 2014 en
favor de la tutela efectiva de este derecho fundamental, fue el mismo con el que el constituyente
permanente emitió, para la reglamentación del mismo 6º y el 16º constitucional, la Ley General de
Protección de Datos Personales en Posesión de los Sujetos Obligados como un nuevo andamiaje
jurídico que buscara ponerle fin a la diversidad de instrumentos normativos, que en la materia,
persistían en el país, homologando procedimientos, prácticas y criterios; creando el espacio propicio
para la realización simétrica del derecho de autodeterminación sobre la información propia a lo largo
de la geografía nacional, con independencia del origen territorial, social o cultural, del sujeto de
derecho.
En la ley general referida, se plasmó la necesidad de establecer acciones comunes de política pública
en todas las instituciones garantes de este derechos; además, en armonía con ésta disposición, se
retomó de la Ley General de: Transparencia y Acceso a la Información Pública a la instancia
encargada de organizar, articular, diseñar e implementar tales esfuerzos a través del federalismo
cooperativo: el Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de
Datos Personales (SNT).
Por tal motivo, el Programa Nacional de Protección de Datos Personales 2018-2022,
PRONADATOS, es un resultado tangible de esta nueva etapa de coordinación interinstitucional. Su
elaboración implicó un proceso de recopilación de información, revisión y análisis en el que
estuvieron involucrados, bajo un esquema de gobernanza, integrantes del SNT, academia, sociedad
en su conjunto, pueblos y comunidades indígenas, grupos vulnerables y diversos organismos
internacionales. Esto permitió construir documentos que, partiendo del reconocimiento irrestricto a
los derechos humanos, de manera incluyente y con perspectiva de género, organizan y hacen
operables objetivos a partir de estrategias, líneas de acción, actividades, metas e indicadores.
La emisión del PRONADATOS es sólo el primero de los pasos hacía la ejecución del mandato
establecido en la Ley General de Protección de Datos Personales en Posesión de los Sujetos
Obligados, se requiere avanzar en la implementación, seguimiento, evaluación y actualización de este
instrumento de política pública; pues la ejecución de las disposiciones contenidas en el mismo
programa, por un lado, representa la hoja de ruta en el proceso de conformación de un nuevo
paradigma de planeación para el fortalecimiento de una cultura de estado abierto, plural y transparente
en México y; por otro lado, representan una herramienta hacia el fortalecimiento y empoderamiento
de la ciudadanía.
El mandato del legislador permanente es claro y la respuesta del INAI y del SNT es oportuna y
contundente, la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados
y, ahora, el PRONADATOS, son el marco necesario para el desarrollo de las acciones sistemáticas,
constantes y progresivas que permitan generar cambios positivos en la promoción, ejercicio y
garantía del derecho a la privacidad, así como a la difusión de una cultura de la autodeterminación
informativa y protección de la persona.
Francisco Javier Acuña Llamas
Presidente del Consejo Nacional del Sistema Nacional de Transparencia
PROLOGO
El PRONADATOS se enmarca en el llamado universal para poner fin a la pobreza, proteger el planeta
y garantizar que todas las personas gocen de paz y prosperidad para 2030; los Objetivos de Desarrollo
Sostenible. El objetivo número 16 de 17 hace referencia a “Paz, justicia e instituciones sólidas”, el
cual entre sus metas señala claramente: “Garantizar el acceso público a la información y proteger las
libertades fundamentales, de conformidad con las leyes nacionales y los acuerdos internacionales”.
Los mecanismos de seguimiento de este Programa Nacional, así como el mismo PRONADATOS,
son un ejemplo de esfuerzos que nacen en acciones locales para aunar a los compromisos que México
ha adoptado en el concierto global.
Es así que, al interior del Consejo Nacional del SNT, se establecieron Lineamientos para la
Elaboración, Ejecución y Evaluación de cada uno de los Programas Nacionales como base para
acordar los espacios, momentos, y formas de coordinación entre sus miembros. El 15 de noviembre
de 2016 se llevó a cabo el Foro de Arranque del PROTAI en las instalaciones del INAI. Así mismo,
el 2 de diciembre de 2016, se llevó a cabo un Foro informativo del PROTAI en el Pabellón de la
Transparencia, en la Feria Internacional del Libro en Guadalajara, Jalisco. Cabe recordar que previo
a la expedición de la Ley General de Protección de Datos Personales en Posesión de Sujetos
Obligados, PROTAI incluía un eje de Protección de Datos Personales que sirvió de base para el
desarrollo de PRONADATOS. Una vez expedida la Ley en comento, se decide separar el eje temático
que se desarrollaba en el PROTAI para dar paso al desarrollo de todo un Programa que abordase los
asuntos de la protección de los datos personales en el sector público.
Para la elaboración del diagnóstico de cada Programa se comenzó por explorar una serie de insumos
de información- Para complementar la información que se encontraba en cada una de las fuentes
consultadas, se desarrollaron listados de contenidos con preguntas sobre el qué hacer de cada
institución integrante del SNT en las respectivas materias del PROTAI y PRONADATOS. En el caso
de PRONADATOS los listados de contenidos fueron validados por la Comisión de Protección de
Datos Personales. Para la integración del documento Diagnostico, fue sistematizada la información
recibida por los integrantes del Sistema Nacional en los listados de contenidos, la información
presentada por INEGI en el Censo Nacional de Transparencia, Acceso a la Información Pública y
Protección de Datos Personales 2016, así como su edición 2017; la información de la Encuesta
Nacional de Acceso a la Información Pública y protección de Datos Personales 2016, así como
insumos realizados y proporcionados por la Secretaría de Protección de Datos Personales del INAI.
A partir de dicho documento diagnóstico se desarrolló una primera versión de PROTAI, con la
colaboración de la Secretaría de Protección de Datos Personales del INAI. Se recibieron
observaciones de la Comisión de Protección de Datos Personales a la propuesta de PRONADATOS,
fueron analizados un total de 57 comentarios recibidos por los integrantes de dicha Comisión.
También se recibieron comentarios del Instituto de Investigaciones Jurídicas de la UNAM respecto a
la propuesta de PRONADATOS presentada en el Consejo Nacional el 15 de diciembre de 2017.
Por lo tanto, el PRONADATOS es el resultado de un proceso que para su desarrollo transitó de
manera simultánea; por un lado, una coordinación cabal, acordada e institucional entre las instancias
e integrantes del Sistema, bajo el principio de respeto irrestricto a la autonomía y naturaleza de cada
miembro y, por otro lado, un proceso de diseño de política pública que, mediante el involucramiento
de instituciones académicas especializadas, busco conceder solvencia técnica y metodológica a los
instrumentos desarrollados.
Sirva este espacio para exhortar al amable lector de éste Programa a impulsar, dentro de su ámbito de
acción, la realización homogénea del derecho a la protección de datos personales en todo el territorio
nacional; asimismo, en virtud de las líneas que aquí se presentan, invito a la sociedad civil, a la
academia y a los organismos garantes, para que continuemos decididamente en la labor de
implementación, seguimiento, escrutinio y crítica que estas políticas públicas requieren.
Rosendoevgueni Monterrey Chepov
Comisionado coordinador de la Comisión Permanente de Vinculación con el Sistema Nacional
de Transparencia del INAI
Índice Presentación ........................................................................................................................................ 1
I. Introducción ..................................................................................................................................... 2
I.1 Primer PRONADATOS ................................................................................................................. 4
I.2 Enfoque inicial del PRONADATOS .............................................................................................. 5
II. Marco Normativo ............................................................................................................................ 7
III. Diagnóstico de las principales temáticas ..................................................................................... 10
1. Educación y cultura de protección de datos personales entre la sociedad mexicana .......... 10
2. Ejercicio de los derechos ARCO y de portabilidad ................................................................ 11
3. Capacitación a los responsables en materia de protección de datos personales ................ 11
4. Implementación y mantenimiento de un sistema de gestión de seguridad ......................... 12
5. Estándares nacionales, internacionales y buenas/mejores prácticas en la materia ............ 13
6. Monitoreo, seguimiento, y verificación de metas ................................................................ 14
7. Acciones preventivas en materia de protección de datos personales.................................. 14
8. Perspectiva normativa con enfoque de política pública ....................................................... 15
IV. Contenido del PRONADATOS ....................................................................................................... 16
IV.1 Estructura general .................................................................................................................. 16
IV.2 Alineación de sus contenidos ................................................................................................. 19
IV.3 Líneas estratégicas transversales ........................................................................................... 20
IV.4. Contenidos por temática del Programa ................................................................................ 28
1. Educación y cultura de protección de datos personales entre la sociedad mexicana ...... 28
2. Ejercicio de los derechos ARCO y de portabilidad ............................................................ 33
3. Capacitación a los responsables en materia de protección de datos personales ............ 40
4. Implementación y mantenimiento de un sistema de gestión de seguridad ..................... 43
5. Estándares nacionales, internacionales y buenas/mejores prácticas en la materia ........ 49
6. Monitoreo, seguimiento y verificación de metas ............................................................. 52
7. Acciones preventivas en materia de protección de datos personales.............................. 56
8. Perspectiva normativa con enfoque de política pública ................................................... 58
V. Implementación y actualización del PRONADATOS ...................................................................... 66
V.1. Temáticas relevantes en la implementación del PRONADATOS............................................ 68
VI. Perspectivas del PRONADATOS.................................................................................................... 69
VII. Indicadores generales y transversales del Programa ................................................................. 70
VIII. Glosario ...................................................................................................................................... 76
Anexo 1. Fichas de Indicadores ......................................................................................................... 78
Propuesta de ajustes a indicadores de PRONADATOS; Resultado del análisis de fichas y
reconocimiento inicial de desagregación presupuestal en actividades de protección de datos
personales ......................................................................................................................................... 78
i) Fichas de indicadores para los objetivos .................................................................................... 79
Fuentes de los indicadores ........................................................................................................ 93
ii) Fichas de indicadores para las líneas estratégicas transversales .............................................. 93
Reconocimiento inicial de datos presupuestales desagregados para la protección de datos
personales entre los organismos garantes del país ........................................................................ 100
Presentación
La existencia del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección
de Datos Personales (SNT) se enmarca en el nuevo esquema de gobernanza del Estado mexicano,
donde la colaboración interinstitucional renueva la dinámica gubernamental; y donde también, los
resultados encomendados por el Constituyente permanente a las instituciones no son
responsabilidad exclusiva de un solo órgano, sino de todas las instancias que, siendo parte de la
administración pública, con independencia de su nivel de gobierno, tienen injerencia en el tema.
En este diseño institucional se ubican nuevos instrumentos de política pública, que respetando la
soberanía o autonomía de los integrantes que los instrumentan, tienen distintos alcances de
coordinación y colaboración intergubernamental para garantizar su diseño, ejecución y evaluación,
a la vista del cumplimiento de un mandato que deriva de la propia Constitución Política de los
Estados Unidos Mexicanos.
En este contexto el tema de la protección de datos personales toma una relevancia cada vez mayor
en el mundo, derivado del avance tecnológico y que los marcos normativos no siempre pueden
actualizarse a esta trepidante velocidad y es donde la política pública es un factor decisivo. Para el
Estado mexicano representa un reto importante mantener segura la información que contenga
datos personales de las y los titulares en el país, por lo que la LGPDPPSO y este programa son una
respuesta a este desafío.
Bajo este marco referencial, el desarrollo del Programa Nacional de Protección de Datos Personales
(PRONADATOS), 2018-2022, se enmarca en los trabajos que realiza el Sistema Nacional de
Transparencia, Acceso a la Información Pública y Protección de Datos Personales (SNT) y tiene un
alcance nacional, enfocado únicamente a las instancias de gobierno. Lo anterior, a partir de la
ejecución que de éste lleven a cabo los organismos garantes del derecho a la protección de datos
personales y de los demás integrantes federales de este Sistema, dentro del ámbito de sus
atribuciones.
2
I. Introducción
El PRONADATOS es el principal instrumento que tiene el SNT para definir y coordinar las bases de la
política pública de protección de datos personales en el país, dentro del sector público. Para ello, se
auxilia de una estructura de política pública que incluye la identificación de problemáticas y el diseño
de objetivos y acciones a las cuales se les dará seguimiento y en su momento se evaluarán sus
resultados. Los propios lineamientos disponen de instrumentos adicionales, denominados rutas de
implementación, que deberán elaborarse cada año por parte de los integrantes del SNT para la
ejecución de este Programa. Al respecto cabe indicar que los integrantes que conforman al SNT son
los Organismos Garantes de las Entidades Federativas, el INAI y las siguientes instancias federales:
la Auditoría Superior de la Federación (ASF), el Instituto Nacional de Estadística y Geografía (INEGI)
y el Archivo General de la Nación (AGN).
Este documento se elabora en cumplimiento de lo establecido en la Ley General de Protección de
Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), en particular al artículo 12 que
dota al SNT del objetivo de diseñar un Programa Nacional de Protección de Datos Personales, y al
artículo sexto transitorio que determina que el Sistema Nacional deberá emitir este Programa y
publicarlo en el Diario Oficial de la Federación, a más tardar en un año a partir de la entrada en vigor
de la LGPDPPSO. Así como en cumplimiento a lo establecido en el numeral vigésimo primero y
segundo transitorio de los “Lineamientos para la Elaboración, Ejecución y Evaluación del Programa
Nacional de Protección de Datos Personales” (Lineamientos de PRONADATOS).
A continuación, se presentan las principales consideraciones que el desarrollo de este primer
PRONADATOS conllevó, el enfoque inicial del Programa y un breve marco normativo. En las
siguientes secciones del documento se presentan los distintos elementos del PRONADATOS. En la
tercera sección, se refieren las principales problemáticas sobre las temáticas requeridas por el
Programa,1 en la cuarta, se explica la estructura general y la alineación de los elementos de la
propuesta, para posteriormente presentar los contenidos para cada temática. Finalmente, se
1 Los propios Lineamientos del PRONADATOS establecen las temáticas a considerar, a partir de lo establecido en al LGPDPPSO. Para su consulta en: http://snt.org.mx/images/Doctos/CONAIP/SNT/ACUERDO/EXT04-05/10/2017-04/
3
abordan diversos elementos básicos sobre la lógica de implementación del PRONADATOS, así como
de sus indicadores.
A fin de dar cumplimiento a lo establecido en el artículo 12 de la Ley General de Protección de Datos
Personales en Posesión de Sujetos Obligados en lo referente a la Actualización del PRONADATOS;
así como, al Capítulo VII de los Lineamientos del PRONADATOS; y, a lo establecido en el presente
Programa, en la Primera Sesión Extraordinaria de Comisiones Unidas de Protección de Datos
Personales y Derechos Humanos, Equidad de Género e Inclusión Social, ambas del SNT, realizada el
08 de junio de 2020; en el punto VIII del Orden del Día se realizó la aprobación por unanimidad de
las Modificaciones del PRONADATOS 2019 (acuerdo SNT/CU-PDP-
DHEGIS/ACUERDO/EXT01/08/06/2020-05).
Posteriormente, en la Primera Sesión Extraordinaria de la Comisión de Protección de Datos
Personales del SNT, realizada el 11 de septiembre de 2020, en el punto IV del Orden del Día se realizó
la aprobación por unanimidad de las Actualizaciones del PRONADATOS 2020 (acuerdo
SNT/PDP/ACUERDO/11/09/2020-EXT01-03). En esa misma sesión, en el punto V del Orden del Día,
se aprobó por unanimidad el Dictamen de Actualizaciones 2019 y 2020 del Programa Nacional de
Protección de Datos Personales; para su presentación, discusión y en su caso aprobación por parte
del Consejo Nacional (acuerdo SNT/PDP/ACUERDO/11/09/2020-EXT01-04).
En la Segunda Sesión Ordinaria del Consejo Nacional, efectuada el 24 de septiembre de 2020, se
presentó en Asuntos Generales el dictamen de actualizaciones 2019 y 2020 del Programa Nacional
de Protección de Datos Personales, PRONADATOS.
En la Primera Sesión Extraordinaria de 2020, del Consejo Nacional del Sistema Nacional de
Transparencia, Acceso a la Información Pública y Protección de Datos Personales, celebrada el 5 de
noviembre de 2020, fue presentado, sometido a discusión y aprobado por unanimidad el Acuerdo
mediante el cual se aprueban las Actualizaciones 2019 y 2020 del Programa Nacional de Protección
de Datos Personales.
Por lo anterior, en el cuerpo del presente documento se encontrarán referencias a los párrafos
adicionados, modificados y eliminados conforme a dichas actualizaciones. Para mayor información
al respecto, se puede consultar el dictamen aprobado por la Comisión de Protección de Datos
Personales y el Acuerdo del Consejo Nacional del SNT.
4
I.1 Primer PRONADATOS
Como lo marcan los Lineamientos de PRONADATOS2, para la elaboración de este primer programa,
el Secretariado Ejecutivo del SNT integró el documento diagnóstico del PRONADATOS considerando
el diagnóstico generado para el PROTAI, sobre el eje temático de Datos Personales, y otras fuentes
relevantes. Asimismo, en concordancia con el acuerdo de la Tercera Sesión Extraordinaria de la
Comisión de Protección de Datos Personales del Sistema Nacional, a través de la cual, en el octavo
punto del orden del día, se aprobó la solicitud formal de separar del Programa Nacional de
Trasparencia y Acceso a la Información Pública 2017-2021 (PROTAI) el eje temático de protección
de datos personales, para integrarlo a los trabajos y avances realizados forme parte del diseño y
elaboración del PRONADATOS. Ésta solicitud fue avalada por el Consejo Nacional del SNT, tal como
es establecido en el considerando 30 del acuerdo CONAIP/SNT/ACUERDO/ORD01-15/12/2017-03
mediante el que se aprobó el PROTAI. Tanto el diagnóstico, como las propuestas de política pública,
que en materia de protección de datos personales se plasmaron en el desarrollo del PROTAI son
retomados en este documento y en su documento diagnóstico.
La elaboración de un primer programa nacional en una materia novedosa implica retos importantes
para incorporar nuevas actividades a instituciones que ya tienen procesos establecidos y en
desarrollo. En este sentido, es posible que algunas de las líneas de acción planteadas en este
documento sean leídas como una serie de pasos para el establecimiento de un proceso. Ésta
apreciación es adecuada y tiene la finalidad de impulsar una homogenización en los procesos de los
integrantes del SNT en materia de protección de datos personales en el sector público. El desarrollo
de un proceso de aprendizaje institucional, a través de este primer PRONADATOS, permitirá que
ejercicios subsecuentes puedan contar con cimientos más sólidos que permita el desarrollo de
programas con propuestas más cualitativas.
Para la elaboración del PRONADATOS fueron definidas por parte del Consejo Nacional del SNT las
reglas básicas para elaborarlo por medio de la aprobación de los Lineamientos para este fin. El
Programa ha sido diseñado de forma colaborativa por las instituciones integrantes del Sistema
Nacional de Transparencia con opiniones de personal académico del Instituto de Investigaciones
2 Segundo lineamiento transitorio.
5
Jurídicas de la UNAM, así como de servidores públicos especializados y la colaboración y opinión de
la Comisión de Protección de Datos Personales del SNT.
En este mismo sentido, los encargados de la ejecución y cumplimiento de este PRONADATOS son,
primordialmente, los integrantes del SNT3. Aun cuando los lineamientos de PRONADATOS
establecen que la ejecución del programa corresponde también a los responsables4, en este primer
PRONADATOS se aprecia la necesidad de enfocar los esfuerzos en aquellas acciones que, sin
menoscabar la participación de los responsables, son desarrolladas principalmente por los
integrantes del SNT.
A lo largo del documento es posible identificar la necesidad de contar con mayores elementos para
precisar el alcance de ciertas acciones, de poblaciones de interés, de instituciones y actores
relevantes, mecanismos, etc. Dichas acciones están marcadas en cada uno de los temas donde son
pertinentes. Esto no tiene perjuicio a la posibilidad de emprender, en el corto plazo, el desarrollo
de instrumentos diagnósticos específicos para la materia de protección de datos personales en el
sector público, que permitan el ajuste y afinación de las líneas de acción que se plantean en este
primer PRONADATOS.
I.2 Enfoque inicial del PRONADATOS
El reto de construir una política diseñada para atacar los problemas públicos vinculados con la
protección de datos personales en México es amplio. Por una parte, la protección de los datos entre
los titulares es un tema novedoso, en el cual se han tenido distintas experiencias de las instituciones
de gobierno que no necesariamente se circunscriben a la nueva entrada en vigor de la LGPDPPSO y
a las necesidades de la población.
Por otra parte, la propia creación de la normatividad reciente, de alcance nacional y para garantizar
el derecho a la protección de datos personales en el país, carece de un enfoque de política pública
3 De acuerdo al artículo 30 de la Ley General de Transparencia y Acceso a la Información Pública, son parte integrante del SNT: El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales; II. Los Organismos garantes de las Entidades Federativas; III. La Auditoría Superior de la Federación; IV. El Archivo General de la Nación, y V. El Instituto Nacional de Estadística y Geografía 4 Lineamiento trigésimo cuarto.
6
para atacar las distintas arenas y contextos, por lo cual cabe desdoblarse en áreas específicas y
prioritarias.
Ante este escenario, el enfoque del programa toma en cuenta tanto los contextos que impulsan el
cumplimiento de la LGPDPPSO como otras intervenciones que resuelven problemáticas de impacto
y trascendencia social. Desde esta perspectiva también es indispensable comprender que para la
ejecución de esta política nacional deben fortalecerse las capacidades institucionales y los recursos
disponibles de los organismos garantes, particularmente en aquellos casos donde no se tenía una
experiencia en la garantía de este derecho.
Por lo anterior, se realizó una priorización de enfoques para impulsar el desarrollo institucional y el
cumplimiento normativo y orientar este programa a la vinculación con tres problemas públicos:
a) resolver la utilización de los derechos ARCO orientada a un beneficio concreto para el titular de
los datos,
b) resolver el tratamiento y seguridad de los datos considerando situaciones urgentes y
c) implementar simplificadamente la ley y establecer prioridades en la administración pública.
Desde la perspectiva de la administración de riesgos y la seguridad de la información en las
instituciones de gobierno, la protección de los datos personales está asociada con la vida privada de
los titulares, en este sentido, las medidas de seguridad e integridad de los datos contenidos en los
registros públicos es un caso urgente para su atención. Los criterios de prioridad de tratamiento de
datos personales deben guiarse por la magnitud y relevancia de los sistemas o registros de datos
personales en posesión del gobierno, entre ellos, los correspondientes a los expedientes clínicos,
padrones de programas sociales o registros públicos. En este esfuerzo de priorización existen
sectores de gobierno que requieren de una atención similar desde la perspectiva de política pública.
Aunado a este escenario, está el reto de implementar la nueva normativa de manera gradual, que
tome en cuenta tanto los procesos de homologación de los organismos garantes en las entidades
federativas, así como el impacto regulatorio de incorporar procedimientos del ejercicio de los
derechos ARCO en marcos jurídicos que históricamente han contado con procedimientos de acceso
a registros personales desvinculados de los principios del nuevo derecho. Por ello, el PRONADATOS
debe impulsar también el desarrollo de herramientas de estudio y diagnóstico que generen
información para conocer las áreas prioritarias desde esta perspectiva.
7
El objetivo del PRONADATOS, en el agregado, es fortalecer las instituciones vinculadas con la
protección de datos personales para generar un beneficio palpable en la población sobre su
tratamiento de datos personales en el país. Entre sus objetivos en el corto plazo y mediano plazo se
encuentran:
• Impulsar el cumplimiento gradual de la LGPDPPSO a partir de acciones y estrategias
prioritarias.
• Impulsar el fortalecimiento institucional y presupuestario de los organismos garantes para
la protección de los datos personales.
• Identificar sectores y áreas relevantes donde la protección de datos personales en el país
generará un beneficio y trascendencia pública y social.
II. Marco Normativo
El marco normativo del derecho humano a la protección de datos personales, se encuentra
fundamentado en el artículo 16, segundo párrafo, así como el artículo 6° constitucional y es regulado
por dos ordenamientos diferenciados a partir de los sujetos a quienes les son aplicables, que son: la
Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), publicada
en el Diario Oficial de la Federación (DOF) el 5 de julio de 2010 y la Ley General de Protección de
Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), publicada en el DOF el 26 de enero
de 2017.
La protección de datos personales en el sector privado se encuentra regulada a nivel federal
únicamente en la LFPDPPP, la cual contempla una serie de reglas, requisitos, condiciones, principios
y obligaciones mínimas para garantizar un adecuado manejo de los datos personales por parte de
las personas físicas y morales de carácter privado que, durante el desarrollo de sus actividades,
procesos operativos, comerciales o de servicios, o bien funciones estatutarias, utilicen datos
personales.
Por su parte, la LGPDPPSO se distingue por ser el primer ordenamiento mexicano que, a nivel
nacional, fija las bases para el efectivo ejercicio y tutela del derecho fundamental a la protección de
datos personales dentro del ámbito público. Partiendo de esta premisa, la LGPDPPSO tiene por
8
objeto establecer las bases, principios y procedimientos para garantizar el derecho que tiene toda
persona física a la protección de sus datos personales en posesión de todo ente público.
En este sentido, la LGPDPPSO se distingue por prever:
• Los conceptos, figuras y principios que regulan y en los que se basa el desarrollo del derecho a la protección de datos personales, de acuerdo con los estándares nacionales e internacionales en la materia, como son principios, deberes, derechos de acceso, rectificación, cancelación y oposición (derechos ARCO), portabilidad de los datos personales régimen de transferencias, entre otros.
• Los estándares mínimos e imprescindibles que permitan uniformar el derecho a la protección de datos personales en el país en el sector público federal, estatal y municipal.
En el ámbito estatal, son las entidades federativas las encargadas de regular la protección de datos
personales en posesión de autoridades o entes públicos estatales, por medio de sus leyes locales
armonizadas con la LGPDPPSO.
Con el fundamento de la LGPDPPSO y las leyes estatales en la materia se sientan las bases para que
cualquier persona en nuestro país esté segura de:
• Que sus datos personales sean utilizados y cuidados bajo las mismas reglas en el ámbito público en los tres órdenes de gobierno;
• Que pueda solicitar a cualquier autoridad gubernamental el acceso, la rectificación, cancelación y oposición de sus datos personales;
• Que pueda denunciar el uso indebido de sus datos personales por instituciones públicas;
• Que sus datos personales sean comunicados a terceros sólo con su consentimiento, conforme a las reglas establecidas en la LGPDPPSO y las leyes estatales en la materia; y
• Que cuenta con una serie de mecanismos a su favor para el caso de que le sea vulnerado o restringido su derecho a la protección de datos personales en el ámbito público.
En el marco del SNT la LGPDPPSO también refiere que este Sistema tiene como función coordinar y
evaluar las acciones relativas a la política pública transversal de protección de datos personales, así
como establecer e implementar criterios y lineamientos en la materia. En este sentido, el SNT tiene
el encargo de diseñar, ejecutar y evaluar un PRONADATOS.
Régimen de protección de datos personales en México
9
• El derecho a la protección de datos personales en México se regula a partir de dos diferentes
ordenamientos, la LFPDPPP y la LGPDPPSO, la primera aplicable para las personas físicas y
morales de carácter privado y la segunda, en los ámbitos federal, estatal y municipal, para las
autoridades, entidades, órganos y organismos de los Poderes Ejecutivo, Legislativo y Judicial,
órganos autónomos, fideicomisos y fondos públicos federales y partidos políticos.
• Adicionalmente, las entidades federativas tienen sus propios ordenamientos que regulan el
ejercicio y tutela del derecho a la protección de datos personales conforme a la LGPDPPSO
En este sentido, el SNT desarrolló la normatividad secundaria que dio paso al PRONADATOS, en
particular, al acordar y emitir los instrumentos normativos que requiere la LGPDPPSO, entre ellos,
los Lineamientos para la elaboración, ejecución y evaluación del Programa Nacional de Protección
de Datos Personales. Dichos Lineamientos regulan el alcance de este instrumento de política pública
y orientan los distintos procesos para su construcción y ejecución.
Referencias del marco normativo relacionadas con el PRONADATOS:
Normatividad
• Constitución Política de los Estados Unidos Mexicanos
• Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados
• Ley General de Transparencia y Acceso a la Información Pública
• Ley Federal de Transparencia y Acceso a la Información Pública
• Leyes Estatales de Protección de Datos Personales en Posesión de Sujetos Obligados
• Lineamientos para la elaboración, ejecución y evaluación del Programa Nacional de Protección
de Datos Personales (Consejo Nacional del SNT)
• Acuerdo CONAIP/SNT/ACUERDO/EXT02/27/04/2017-04 por el que se aprueba la Metodología y
Cronograma de las estrategias de la implementación de la Ley General de Protección de Datos
Personales en Posesión de Sujetos Obligados (Consejo Nacional del SNT)
• Lineamientos para la organización, coordinación y funcionamiento de las instancias de los
integrantes del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección
de Datos Personales
• Reglamento del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la
Información Pública y Protección de Datos Personales
• Y los lineamientos que la Ley General de Protección de Datos Personales en Posesión de Sujetos
Obligados mandata al SNT emitir.
10
III. Diagnóstico de las principales temáticas
En esta sección se presentan algunos de los hallazgos más característicos que fueron localizados en
el Documento Diagnóstico de PRONADATOS. Los hallazgos que se muestran son los que nos
permiten delinear las problemáticas que busca atender este Programa en sus distintos ejes. Para
conocer más a fondo los resultados de la revisión de documentos, dicho documento puede ser
consultado en:
http://proyectos.inai.org.mx/pronadatos/images/Doctos/Documento_Diagnostico_PRONADATOS_2018-2022.pdf
1. Educación y cultura de protección de datos personales entre la
sociedad mexicana
El tema de la protección de datos personales en el país es relativamente novedoso, recordemos que
fue a partir de 2002 cuando la LFTAIPG estableció que toda autoridad, ente, organismo u órgano
público federal sería responsable del debido tratamiento de los datos personales en su posesión y
del desarrollo de mecanismos para la seguridad de los mismos. A partir de 2009 con la reforma al
artículo 16 constitucional se reconoció a la protección de datos personales como un derecho
fundamental de los individuos.
Datos de la Encuesta Nacional de Acceso a la Información Pública y Protección de Datos Personales
(ENAID) 2016 dan cuenta de un conocimiento reducido de la protección de datos personales como
un derecho, esto se ve reflejado en el bajo nivel de reconocimiento que tienen tanto la Ley que
regula el ámbito privado como el Instituto ante el que se pueden presentar quejas.
Datos de la misma encuesta muestran que existe una preocupación generalizada por el uso que se
le pudieran dar a los datos proporcionados tanto en redes sociales como a alguna institución pública
o empresa. Todas las opciones obtuvieron más del 50% de preguntas positivas ante la pregunta
sobre si les preocupaba el mal uso de uno de los datos personales que hubieran proporcionado.
El desarrollo reciente del tema de protección de datos personales en México, y su posicionamiento
como contraparte al derecho de acceso a la información han limitado el desarrollo de programas
académicos y de investigación sobre la materia. Se identifica un número reducido de investigadores
y expertos en el tema de la protección de datos personales.
Aunque los datos son muy limitados, la ENAID 2016 nos muestra indicios acerca de las características
de las personas que presentan una queja por el mal uso de sus datos personales. De los 12,306
encuestados sólo 186 reportan haber presentado una queja por el mal uso de sus datos personales.
Esta información muestra que el conocimiento en la materia es realmente limitado y se encuentra
concentrado en ciertos estratos poblacionales que tienen acceso a medios de comunicación y tienen
niveles de estudio relativamente altos, en comparación con la población en general.
11
Principales problemáticas detectadas
Desconocimiento general de la protección de datos personales
Hay un número reducido de estudios e investigaciones en las materias de protección de datos personales y privacidad en México
Hay una preocupación generalizada entre la población sobre el uso de sus datos personales, en especial: información que permite localizarlos, aspectos económicos o de salud
Los Organismos Garantes no son ampliamente reconocidos como las instituciones garantes del derecho a la protección de datos personales
Las características socioeconómicas de las personas que ejercen su derecho a la protección de datos personales indican que pertenecen a grupos específicos y minoritarios de la población
2. Ejercicio de los derechos ARCO y de portabilidad
En México, con la reforma al artículo 6° constitucional en 2007, se reconocieron los derechos que
tiene toda persona física de acceder y rectificar su información, únicamente en posesión de entes
públicos de los tres órdenes de gobierno. No fue sino hasta 2009 que se empezó a conformar el
andamiaje normativo para definir a la protección de datos personales como un derecho
fundamental y autónomo distinto de los derechos de acceso a la información e intimidad, esta
reforma reconoció también los derechos de cancelación y oposición, garantizándose así la totalidad
de los derechos ARCO. Hasta antes de la emisión de la LGPDPPSO sólo 11 entidades federativas
contaban con normatividad en materia de protección de datos personales, lo cual resultó en
prácticas dispares para el ejercicio de los derechos ARCO en el país.
La Encuesta Nacional sobre Protección de Datos Personales a Sujetos Regulados por la Ley Federal
de Protección de Datos Personales en Posesión de los Particulares y Población en General, elaborada
en el año 2012, nos aproxima a datos generados sobre el conocimiento de este derecho y su ejercicio
que se deben tomar en cuenta. Si bien 3 de cada 10 personas señalaron al entonces IFAI,
actualmente INAI, como institución garante de la Ley Federal de Protección de Datos Personales,
esta proporción se reduce a 2 de cada 10 cuando se trata de identificar la instancia a la cual pueden
acudir en caso de que un particular no atienda sus solicitudes ARCO.
Principales problemáticas detectadas
Heterogeneidad de las prácticas para ejercer los derechos ARCO
No hay un ejercicio suficiente y adecuado de los derechos ARCO
3. Capacitación a los responsables en materia de protección de datos
personales
A partir de la información que proveyeron los integrantes del SNT, pudimos identificar que solo 4
Organismos Garantes de las entidades federativas han identificado a los servidores públicos que
tratan datos personales al interior de los responsables. Lo cual deja claro que uno de los principales
12
universos de atención es, en su mayor parte, desconocido. Al revisar si se cuenta con un proceso
para actualizar el padrón de servidores públicos que tratan datos personales en los responsables,
sólo 2 de los 4 Organismos Garantes señalados lo han desarrollado.
Apenas un poco más de la mitad de los Organismos Garantes de las entidades federativas analizadas
afirmaron tener un proceso para la identificación de necesidades de capacitación de los servidores
públicos que tratan datos personales. Estos procesos señalan las solicitudes y reuniones con los
responsables de tratamiento como las principales referencias. Entre los temas detectados se
encuentran de forma general:
- Protección de Datos Personales
- Derechos ARCO
- Marco Legal
Principales problemáticas detectadas
Se desconoce el universo de atención
La LGPDPPSO ha definido nuevas y más amplias obligaciones y facultades para los responsables, las cuales desconocen
Se carece de criterios para identificar necesidades, priorizaciones y sectorizaciones adecuados para atender las necesidades de capacitación en el sector público
Las políticas de capacitación no están vinculadas a los programas sustantivos
No existen las capacidades técnicas, entre los servidores públicos, en materia de protección de datos personales (profesionalización)
4. Implementación y mantenimiento de un sistema de gestión de
seguridad
La LGPDPPSO establece en su artículo 35 los contenidos de un documento de seguridad, los cuales
deberán ser al menos:
I. El inventario de datos personales y de los sistemas de tratamiento;
II. Las funciones y obligaciones de las personas que traten datos personales;
III. El análisis de riesgos;
IV. El análisis de brecha;
V. El plan de trabajo;
VI. Los mecanismos de monitoreo y revisión de las medidas de seguridad, y
VII. El programa general de capacitación
Sin embargo, casi la mitad de los Organismos Garantes que han remitido su información manifiestan
que no han proporcionado algún tipo de orientación a los responsables respecto a la obligación de
contar con un Documento de Seguridad. Incluso algunos de los organismos garantes no cuentan con
un Documento de Seguridad ya que sólo uno manifiesta contar con una relación o un catálogo de
riesgos de vulneración. Del mismo modo, tan sólo 3 Organismos Garantes de las entidades
13
federativas han puesto a disposición algún tipo de documento o mecanismo, que oriente sobre las
acciones a seguir en caso de que ocurra una vulneración a la seguridad de los datos personales en
posesión de los responsables.
Principales problemáticas detectadas
Pueden darse vulneraciones de seguridad que afecten de manera significativa los derechos de los titulares
Las medidas de seguridad y el tratamiento de datos ante las nuevas tecnologías de la información son desconocidos y carecen de un marco de certeza
Hay un desconocimiento generalizado de las medidas de seguridad informática
5. Estándares nacionales, internacionales y buenas/mejores prácticas
en la materia
La LGPDPPSO destaca como una de las temáticas a desarrollar por este PRONADATOS en su artículo
12: “IV. … así como promover la adopción de estándares nacionales e internacionales y buenas
prácticas en la materia…”. La misma LGPDPPSO establece una función para el SNT en este sentido:
“XIV. Proponer códigos de buenas prácticas o modelos en materia de protección de datos
personales” y dota al INAI de una atribución para:
“XXXV. Diseñar, vigilar y, en su caso, operar el sistema de buenas prácticas en materia de protección
de datos personales, así como el sistema de certificación en la materia, a través de normativa que el
Instituto emita para tales fines;”
Es así, como la experiencia previa del instituto en materia de protección de datos personales ya ha
identificado la existencia de buenas prácticas tanto nacionales, como internacionales. Aunado a esta
labor, el INAI ha identificado y premiado la adopción de buenas prácticas en materia de protección
de datos personales entre sus responsables.
Se identifica que aún no se han realizado acciones constantes encaminadas a la validación o
reconocimiento de mejores prácticas, pero el INAI cuenta con elementos que permitirán sentar una
base para el desarrollo de mecanismos de buenas prácticas y certificación5. Así mismo, los
integrantes del SNT deberán tener en cuenta que será en el marco del sistema que se podrán
proponer códigos de buenas prácticas o modelos en materia de protección de datos personales, los
cuáles seguramente influirán en el sistema que se establezca.
Principales problemáticas detectadas
No han sido identificados los incentivos que permitan a los responsables adoptar mejores prácticas
5 El Premio de Innovación y Buenas Prácticas en la Protección de Datos Personales 2016 incluyó una categoría llamada “Responsables o encargados del sector público federal”; así mismo en ese año se publicó el Estudio para Fortalecer la Estrategia de Educación Cívica y Cultura para el Ejercicio del Derecho a la Protección de Datos Personales por parte de los Titulares que incluye experiencias internacionales y nacionales en la materia.
14
6. Monitoreo, seguimiento, y verificación de metas
Este eje hace referencia a las facultades conferidas a los Organismos Garantes por la LGPDPPSO en
materia de evaluación del desempeño de los responsables respecto al cumplimiento de la misma
LGPDPPSO y las demás que resulten aplicables en la materia6.
De los Organismos Garantes de las entidades federativas que remitieron sus formatos de contenidos
para el diagnóstico del PRONADATOS, solo uno afirmó tener implementado un sistema para evaluar
el desempeño de los responsables respecto al cumplimiento de la normatividad aplicable en materia
de protección de datos personales. Por lo que las acciones para el establecimiento de las
mencionadas atribuciones se desarrollarán desde sus etapas más básicas.
De la misma información remitida por los Organismos Garantes se desprende que incluso al interior
de 7 de ellos carecen de procesos de control específico para las acciones en materia de protección
de datos personales que ellos mismos realizan.
Principales problemáticas detectadas
Al momento no se evalúa el desempeño de los responsables de carácter público en lo que respecta al cumplimiento de sus obligaciones previstas en la normatividad
7. Acciones preventivas en materia de protección de datos personales
Con la información provista por los Organismos Garantes de las entidades federativas, damos
cuenta de que sólo uno de ellos ha realizado acciones encaminadas a la realización de las auditorías
solicitadas voluntariamente por los responsables, y algunos cuentan con experiencias similares7, los
demás deben realizar acciones para atender esta nueva facultad. Por su parte, el INAI ha comenzado
por modificar su estructura orgánica, para atender las necesidades institucionales en este tema.
Tanto el INAI, como algunos de los Organismos Garantes de las entidades federativas han
comenzado el desarrollo de otro tipo de guías o herramientas para orientar a los responsables en el
cumplimiento de sus obligaciones en materia de protección de datos personales. Seguramente estos
esfuerzos tienen resultados positivos, sin embargo, estas guías o herramientas deben contar con
mecanismos adecuados que permitan medir la utilidad de las mismas para que no sea posible
determinar el resultado de las acciones y recursos dedicados a este esfuerzo.
Principales problemáticas detectadas
No existen suficientes herramientas de facilitación para el cumplimiento de las obligaciones por parte de los responsables
Los responsables pueden someterse a auditorias voluntarias sin que hasta el momento se hayan desarrollado los medios para su atención
6 Artículo 89 fracción XXV y 91 fracción XII 7 Por ejemplo, en la Ciudad de México el InfoDF realiza auditorias, que si bien no son voluntarias, sí son aleatorias con la finalidad de verificar el cumplimiento de la ley y detectar áreas de oportunidad.
15
8. Perspectiva normativa con enfoque de política pública
La LGPDPPSO ha establecido alcances más amplios para la protección de los datos personales de las
y los titulares en el ámbito público. Estos alcances se ven reflejados en un número de atribuciones,
deberes, principios y obligaciones que deberán atender tanto los responsables como los Organismos
Garantes.
En esta Ley General se dotó de nuevas competencias al INAI y a los organismos garantes
otorgándoles facultades normativas, de verificación, resolutorias, sancionatorias y otras que, en su
conjunto, garanticen la plena observancia del cumplimiento de la Ley. También se promovió el
reconocimiento de acciones preventivas que coadyuven a robustecer los controles de protección de
datos personales, se establecieron reglas específicas para el tratamiento de datos personales por
instancias de salud, procuración y administración de justicia y, se desarrollaron una serie de medidas
las cuales ayudarán a disminuir las conductas inadecuadas de los servidores públicos con el
tratamiento de los datos personales, entre otras.
Los Organismos Garantes del país se enfrentan a nuevas y más amplias atribuciones en materia de
protección de datos personales, a partir de la emisión de la LGPDPPSO. Sin embargo, hay recursos y
elementos mínimos con los que aún no se cuentan en todos los Organismos Garantes. Un caso
particular es la inexistencia de un procedimiento de verificación interno para revisar que los datos
personales se traten de manera adecuada. El CNTAID 2017 indica que sólo 12 de los 33 Organismos
Garantes cuentan con un procedimiento de esta naturaleza.
La mayoría de los Organismos Garantes de las Entidades Federativas que han remitido la
información de sus cuestionarios tienen previsto la emisión de normatividad encaminada a contar
con parámetros claros de actuación para aplicar las facultades que le fueron conferidas en materia
de protección de datos personales.
Principales problemáticas detectadas
La LGPDPPSO y las leyes locales en la materia son muy generales en su redacción y muy vagos para su desarrollo
Derivado de la reciente promulgación de la LGPDPPSO no se han desarrollado acciones específicas en las instancias del SNT para promover su aplicación en todo su potencial.
Los organismos garantes tienen nuevas atribuciones para las cuáles aún no cuentan con los recursos y capacidades necesarias para su cumplimiento
16
IV. Contenido del PRONADATOS
IV.1 Estructura general
El PRONADATOS está compuesto por ocho ejes y tres líneas estratégicas transversales. Cada eje
tiene problemáticas, estrategias y objetivos asociados. A cada una de las estrategias le corresponde
un número de líneas estratégicas las cuales se desarrollan mediante un conjunto de líneas de acción.
Los ejes son las grandes materias que han planteado los Lineamientos para la Elaboración, Ejecución
y Evaluación del PRONADATOS, y sobre las cuáles es posible aproximarse a la protección de datos
personales de forma sencilla y temática. Cada eje tiene una serie de problemáticas, las cuales han
sido identificadas desde el documento diagnóstico desarrollado por la Secretaría Ejecutiva del SNT.
Para cada problemática, se plantea un objetivo, que es la situación deseada que se pretende
alcanzar a través de las estrategias. Para la medición del éxito de los esfuerzos emprendidos para la
consecución de cada objetivo, se presentan indicadores que permiten el establecimiento de metas,
las cuáles son los valores que esperamos que estos indicadores alcancen.
Las estrategias, como están definidas en los Lineamientos de PRONADATOS son “El conjunto de
acciones interrelacionadas para la atención de una problemática que asegura un resultado”. Para
su organización se cuenta con líneas estratégicas, las cuáles son conjuntos de líneas de acción
encaminada a lograr el objetivo planteado.
17
Por otra parte, las líneas estratégicas transversales contemplan la totalidad de sus propias líneas de
acción. Por ejemplo, la línea estratégica transversal B.- Fortalecimiento institucional desarrolla
líneas de acción para la creación de cinco tipos de capacidades a cuatro niveles de institucionalidad,
lo cual da un total de veinte líneas de acción.
En cada estrategia se señala si las líneas estratégicas corresponden a la aplicación de una de las tres
líneas estratégicas transversales. Asimismo, en cada línea de acción, se concluye con el
señalamiento -entre paréntesis- de las instancias competentes encargadas que se proponen para su
realización.
De la misma forma se han desarrollado indicadores para medir el efecto de las líneas estratégicas
transversales en el programa.
Derivado de los principales resultados alcanzados en el Reconocimiento inicial de datos
presupuestales desagregados para la protección de datos personales entre los organismos garantes
del país, que son muestra de las capacidades institucionales que los Organismos Garantes Locales
pueden dedicar a la gestión y obtención de recursos financieros destinados a actividades de
protección de datos personales; así como, que muy pocas de las actividades propuestas por los
Organismos Garantes guardaron una correspondencia clara con la intencionalidad de la línea
estratégica transversal C, ésta se redimensionó a través de un “Proyecto de Fortalecimiento
Presupuestal para los Organismos Garantes de las Entidades Federativas”, que permita concentrar
esfuerzos en las actividades para obtener mejores resultados.
[Párrafo añadido conforme a modificación 2020]
18
De forma general, los elementos de la estructura del PRONADATOS se identifican de la siguiente
manera:
EJE
PROBLEMÁTICA ESTRATEGIA
OBJETIVO LÍNEA ESTRATÉGICA SEÑAL DE TRANSVERSALIDAD LÍNEA DE ACCIÓN CUADRO DE RESPONSABLES INDICADOR Y METAS (sección final del documento)
Por ejemplo, en esta imagen se muestra una línea estratégica que consiste en aplicar una de las
líneas de acción de la línea estratégica transversal A “Sensibilización, Promoción, Difusión y
Socialización” con los servidores públicos como una de las poblaciones objetivo de dichas líneas de
acción.
19
IV.2 Alineación de sus contenidos
El PRONADATOS es un instrumento de política pública que atiende los elementos de una planeación
estratégica adecuada para encauzar las acciones que en materia de protección de datos personales
se desarrollen en el sector público a nivel nacional. La LGPDPPSO y las leyes estatales en la materia
han establecido nuevas y más amplias facultades y obligaciones en la materia tanto para los
responsables como para los organismos garantes. Así mismo, la LGPDPPSO ha establecido la
creación de este instrumento para la definición de la política pública que en esta materia se
desarrolle en el país.
Para su elaboración se han compilado las fuentes de información más relevantes en materia de
protección de datos personales en el sector público, y se han desarrollado una serie de cuestionarios
que fueron contestados por los integrantes del SNT. Esta información fue sistematizada y
desarrollada en forma de un documento diagnóstico8 el cuál identificó una serie de problemáticas
para cada uno de los ejes de este programa.
A partir del documento diagnóstico se identificaron las problemáticas principales de cada eje y para
cada una de ellas se estableció un objetivo y una estrategia. Para cada estrategia, se han establecido
líneas estratégicas que esbozan los grandes procesos que se necesitan realizar para alcanzar la
consecución del objetivo. A cada línea estratégica le corresponde un conjunto de líneas de acción,
las cuales son las acciones concretas que podrán emprenderse para generar avances en la
protección de datos personales del sector público a nivel nacional.
Al desarrollar tanto las estrategias, como las líneas estratégicas y sus líneas de acción, se puso
especial énfasis en contar con una lógica de causalidad, en la cual, las líneas estratégicas buscan
abonar en conjunto a la consecución de los objetivos planteados.
Durante la elaboración del diagnóstico fue claro que varias de las problemáticas de cada eje
coincidían en problemas más grandes e identificables. Para la atención de estos problemas se
decidió generar tres líneas estratégicas transversales:
- Sensibilización, Promoción, Difusión y Socialización
- Fortalecimiento institucional
- Fortalecimiento presupuestal
Cuando en el documento se indica que una de las líneas estratégicas es transversal, se hace
referencia a que la temática deberá ser contemplada en el desarrollo de las líneas de acción que la
línea estratégica transversal indicada establece. Así, por ejemplo, al hablar de sistemas de seguridad
de la información, la sensibilización, promoción, difusión y socialización que se desarrollen sobre el
tema, tendrá el mismo tratamiento que las actividades que en este sentido se desarrollen para el
ejercicio de los derechos ARCO. Por otra parte, cuando se habla de temáticas que necesitan del
8 En http://proyectos.inai.org.mx/pronadatos/images/Doctos/Documento_Diagnostico_PRONADATOS_2018-2022.pdf.
20
fortalecimiento institucional de los integrantes del SNT, se hace referencia a que al realizar las líneas
de acción de esta línea estratégica transversal estas temáticas sean consideradas. Por ejemplo,
tanto la efectiva emisión de sanciones como la generación de capacidades de seguimiento, deben
ser considerados al desarrollar las líneas de acción de esta línea estratégica transversal y abonar en
conjunto a contar con instituciones más sólidas para la protección de los datos personales de las y
los titulares.
IV.3 Líneas estratégicas transversales
Las líneas estratégicas transversales son soluciones comunes que se proponen para el desarrollo de
los ejes del PRONADATOS. Se han identificado tres de estas, que atienden a problemáticas
generalizadas entre todos los ejes. Estas son:
-Sensibilización, promoción, difusión y socialización
-Fortalecimiento institucional
- Fortalecimiento Presupuestal
Éstos responden a uno de los hallazgos más recurrentes en el diagnóstico y que refieren al reciente
desarrollo del tema de la protección de datos personales en nuestro país, y al aún más reciente
otorgamiento de facultades en la materia a los Organismos Garantes de las entidades federativas.
En algunos casos, se otorgaron facultades más amplias, pues ya contaban con legislaciones locales
en la materia.
A continuación, se exponen estas líneas estratégicas.
A- Sensibilización, promoción, difusión y socialización
Una de las problemáticas más relevantes detectadas en los ejes de PRONADATOS es el
desconocimiento generalizado sobre la protección de los datos personales. Es así, que se plantea la
realización de cuatro actividades mediante un esquema de líneas de acción similar, que permitirán
dotar de orden a las actividades y enfocarán los esfuerzos en la consecución de resultados
concretos.
Las cuatro actividades que conforman esta línea estratégica se entienden como la secuencia a través
de la cual se debe entregar y distribuir información sobre la protección de datos personales; la
orientación de las temáticas que se aborden en cada uno de esos momentos deberá considerar la
siguiente fórmula “Atención, Interés, Demostración, Acción” (AIDA).
Por lo anterior, las actividades que componen la presente línea estratégica transversal se entienden
como:
Sensibilización: Hace referencia a las actividades mediante las cuales se espera modificar la
percepción, las referencias y las ideas generalizadas que se tienen sobre la protección de los datos
personales.
21
Promoción: Son el conjunto de actividades que buscan llamar a la acción, provocar un cambio en
las actitudes y acciones del público objetivo.
Difusión: Se trata del cúmulo de actividades que permiten que un conjunto de conocimiento e
información llegue a la mayor cantidad posible del público objetivo.
Socialización: Le denominamos así al conjunto de actividades que buscan que el público objetivo
aprenda e interiorice información, normas y valores que impulsen el desarrollo de una cultura de la
protección de datos personales.
Como podemos ver, lo que distingue a cada una de estas actividades es la finalidad o la intención al
desarrollarla, sin embargo, todas son comunes a cada una de las tareas para las cuales se requiera
en particular, proveer de información a públicos específicos. Por este motivo se plantean las
siguientes líneas de acción, aplicables para todas estas actividades:
A1 Identificar la temática sobre la cual se emprenderán las actividades y en este sentido,
redactar y delimitar el mensaje a proporcionarse.
A2 Delimitar a la población de interés para que reciba estos mensajes. En la medida de lo
posible establecer la cantidad de personas a las que les es relevante el mensaje (población
potencial) y a cuántos se propone llegar (población objetivo).
A3 Conocer los medios de comunicación más efectivos para esta población de interés.
A4 Desarrollar los materiales que transmitan el mensaje a posicionar, tomando en cuenta
siempre la pertinencia del medio de comunicación elegido, así como de la población de
interés.
A5 Dar seguimiento puntual a las acciones que se desarrollen, para poder estimar con
certeza el volumen de la población que ha recibido el mensaje (población atendida).
A6 Verificar los resultados de estas actividades mediante los mecanismos apropiados para
evaluar la efectividad de las actividades (encuestas, entrevistas, grupos de enfoque, número
de trámites, número de consultas, quejas o respuestas, etcétera)
A7 En su caso, ajustar las actividades realizadas para utilizar los medios y los mensajes más
relevantes para las poblaciones objetivo.
B- Fortalecimiento Institucional
La reciente promulgación de la LGPDPPSO, además de la LFTAIP y de la LFTAIPG ha generado
presiones administrativas en las instituciones encargadas de su implementación, en particular, los
organismos garantes. Ante este pronto incremento de las responsabilidades que se tiene con la
población, se hace indispensable el desarrollo de instituciones fuertes y sólidas, que se enfoquen a
trabajar por resultados y que puedan emprender sus acciones de manera eficiente y eficaz.
Es en este sentido, cada acción que requiera de los recursos que pueden brindar las instituciones
que integran el Sistema Nacional, buscará ser desarrollada con un enfoque que permita hacer de la
innovación en estos procesos, una actividad institucionalizada y asimilada en su quehacer.
22
El fortalecimiento de una institución es un proceso sistemático, constante y que requiere de
esfuerzos mayúsculos a varios niveles. Las líneas de acción que esta línea estratégica transversal
plantea se componen de una serie de capacidades y de un nivel de institucionalidad. Así pues, se
entenderá que cada tipo de capacidades a desarrollar, en un determinado nivel de institucionalidad,
será una línea de acción que puede ser desarrollada para las temáticas que las estrategias y líneas
estratégicas de los ejes de PRONADATOS requieren. Se han distinguido 5 tipos de capacidades y 4
distintos niveles de institucionalidad.
Las capacidades que se plantean desarrollar son:
1.- Capacidades de conocimiento.- contar con los medios y conocimientos necesarios que permiten
reconocer y analizar el entorno en el que se desarrollarán las acciones a emprender.
2.- Capacidad de definición de objetivos.- contar con el conocimiento técnico, las atribuciones
adecuadas y el respaldo necesario para decidir la orientación de las acciones que se necesiten
emprender.
3.- Capacidades de interrelación.- emprender las relaciones y establecer las alianzas que se
requieran para generar marcos de colaboración, cooperación y sinergia que hagan más efectivas las
actividades desarrolladas.
4.- Capacidades establecidas.- poseer apoyo institucional tanto legal, como organizacional, es decir
contar tanto con normas, estructuras, procesos y procedimientos establecidos y avalados, como con
valores, creencias, motivaciones y actitudes definidas que faciliten el logro de los resultados.
5.- Capacidades de monitoreo y evaluación.- contar con el conocimiento y los recursos que permitan
generar información sobre las actividades desarrolladas, evaluar los resultados de éstas, emprender
mecanismos de mejora continua y convertir la información en conocimiento para una adecuada
toma de decisiones.
Los niveles institucionales en los que se propone el desarrollo de las mencionadas capacidades son:
Individuos: El personal que labora en cada una de las instituciones, así como cada unidad
administrativa o área laboral debe poder desarrollar las capacidades planteadas para el desarrollo
adecuado de sus funciones.
Organizaciones: Cada institución integrante del SNT, debe procurar contar con las capacidades
mencionadas.
Jurisdicción: Los Organismos Garantes, junto con sus responsables (en particular con las unidades
de enlace) deberán contar con las capacidades planteadas para poder operar las actividades que les
corresponden.
Sistema Nacional: El SNT como instancia de coordinación y colaboración, debe procurar contar con
las capacidades mencionadas y profundizar y mejorar en aquellas sobre las que ya se cuenta con
algún avance.
23
De esta forma, en resumen, puede decirse que ésta línea estratégica transversal tiene 20 líneas de
acción, cada una correspondiente a una celda de la siguiente matriz:
Capacidades Niveles
Individuos Organizaciones Jurisdicción Sistema Nacional
Capacidades de conocimiento
Línea de acción B1
Línea de acción B6
Línea de acción B11
Línea de acción B16
Capacidad de definición de
objetivos
Línea de acción B2
Línea de acción B7
Línea de acción B12
Línea de acción B17
Capacidades de interrelación
Línea de acción B3
Línea de acción B8
Línea de acción B13
Línea de acción B18
Capacidades establecidas
Línea de acción B4
Línea de acción B9
Línea de acción B14
Línea de acción B19
Capacidades de monitoreo y
evaluación
Línea de acción B5
Línea de acción B10
Línea de acción B15
Línea de acción B20
En donde cada línea de acción puede leerse como:
• Procurar el desarrollo de las capacidades… a nivel …
Las líneas de acción que se implementarán son:
Nivel individuos
B1 Desarrollar capacidades en los servidores públicos para la obtención de información
sobre las acciones que realizará en materia de protección de datos
B2 Proveer a los servidores públicos de las capacidades que requieren para planear y
establecer los objetivos de sus acciones
B3 Dotar a los servidores públicos de las capacidades que les permitan entablar relaciones
de colaboración con otros servidores públicos para el desarrollo de sus actividades
B4 Garantizar el apoyo institucional a las acciones que los servidores públicos realicen en el
marco de sus atribuciones y los principios de su organización
B5 Proporcionar a los servidores públicos las capacidades que les permitan aprovechar la
información que se genera sobre sus actividades y su incorporación para el mejoramiento
de su desempeño.
Nivel Organizaciones
B6 Promover el desarrollo de procesos que doten a los integrantes del SNT de información
sobre la situación que guarda el tema de la protección de datos personales
24
B7 Desarrollar en los integrantes del SNT capacidades para la definición de objetivos claros
en materia de protección de datos personales
B8 Crear las condiciones en cada integrante del SNT que le permitan relacionarse y
establecer los convenios que convengan a la realización de sus actividades
B9 Crear los instrumentos organizacionales que estructuren el quehacer de cada institución
integrante del SNT, tomando en consideración sus deberes en materia de protección de
datos personales
Nivel Jurisdicción
B10 Contar con procesos institucionales de monitoreo, evaluación y mejora continua
B11 Desarrollar mecanismos de comunicación de información sobre la materia de
protección de datos personales entre los organismos garantes y sus responsables (sujetos
obligados)
B12 Establecer metas para el desarrollo de sus correspondientes acciones en materia de
protección de datos personales de manera conjunta entre organismos garantes y sus
respectivos responsables (sujetos obligados)
B13 Fomentar la creación de mecanismos de colaboración entre responsables o de
responsables (sujetos obligados) con otras instituciones para el desarrollo de sus acciones
en materia de protección de datos personales
B14 Promover la integración de las acciones y deberes en materia de protección de datos
personales en los instrumentos organizacionales de los responsables (sujetos obligados)
B15 Contar con sistemas de monitoreo y evaluación de la protección de datos personales
entre los responsables (sujetos obligados)
Nivel Sistema Nacional
B16 Desarrollar los mecanismos que permitan al SNT conocer, analizar y tomar acciones en
materia de protección de datos personales
B17 Promover el establecimiento de objetivos del SNT en materia de protección de datos
personales
B18 Buscar el establecimiento de marcos de colaboración entre el SNT y los actores más
relevantes para la protección de los datos personales en el sector público nacional
B19 Proveer al SNT de los instrumentos que le permitan desarrollar sus acciones con el
apoyo institucional de sus integrantes
B20 Crear los mecanismos que permitan al SNT monitorear, evaluar y ajustar las acciones
que emprende en materia de datos personales, y generar conocimiento a partir de esto
Así pues, se entenderá que cada tipo de capacidades a desarrollar, en un determinado nivel de
institucionalidad, será una línea de acción que puede ser desarrollada para las temáticas que las
estrategias y líneas estratégicas de los ejes de PRONADATOS requieren.
25
C.- Fortalecimiento Presupuestal
[Párrafo eliminado conforme Actualización 2020]
Esta línea estratégica transversal debe funcionar para impulsar las capacidades de los organismos
garantes desde el ámbito presupuestal, ya que los hallazgos más recurrentes en el diagnóstico
refieren al reciente desarrollo del tema de la protección de datos personales en nuestro país, y al
otorgamiento de nuevas facultades en la materia a los Organismos Garantes de las entidades
federativas no han correspondido con la adecuada provisión de recursos.
En consecuencia, los integrantes del SNT se enfrentan a nuevos retos entre los que se encuentran:
hacer de conocimiento general el derecho a la protección de los datos personales, cumplimiento de
nuevas obligaciones en la materia, desconocimiento de la mayoría de los responsables en el
tratamiento de los datos personales, falta de mecanismos de seguridad efectivos, entre otros. Estos
retos son aún más desafiantes para la mayoría de los Organismos Garantes de las Entidades
Federativas los cuáles no contaban con facultades para realizar acciones en materia de protección
de datos personales antes de la promulgación de la LGPDPPSO.
Derivado de los principales resultados alcanzados en el Reconocimiento inicial de datos
presupuestales desagregados para la protección de datos personales entre los organismos garantes
del país
- De los 33 Organismos Garantes considerados para el levantamiento de las variables
presupuestales, se recibió respuesta por parte de 29
- Únicamente 13 Organismos Garantes Locales y el INAI declararon tener identificado el
monto de recursos que fueron destinados durante 2018 para el ejercicio de actividades de
protección de datos personales
- Considerando la información brindada por 13 Organismos Garantes Locales, el promedio
nacional de gasto se colocó en $731,290.70
- De los 14 organismos que pudieron proporcionar los montos destinados a PDP, 11
declararon calcular esta cifra de manera habitual dentro de los registros contables
- Sólo 10 OGL fueron capaces de desagregar este monto en categorías generales
- 7 de los 10 ellos desagregan este monto de manera habitual
Dichos resultados son muestra de las capacidades institucionales que los Organismos Garantes
Locales pueden dedicar a la gestión y obtención de recursos financieros destinados a actividades de
protección de datos personales; así como, que muy pocas de las actividades propuestas por los
Organismos Garantes guardaron una correspondencia clara con la intencionalidad de la línea
estratégica transversal C, ésta fue redimensionada, para reflejarse de manera más efectiva en un
“Proyecto de Fortalecimiento Presupuestal para los Organismos Garantes de las Entidades
Federativas” que permite concentrar esfuerzos en las actividades para obtener mejores resultados.
Esto permite concentrar los esfuerzos sin dejar de reconocer la dificultad que implica el desarrollo
de políticas públicas en un ambiente de austeridad y recursos financieros limitados, se hace
necesario, a la luz de los resultados presentados, reconsiderar la necesidad de incluir en el
26
PRONADATOS una línea estratégica transversal que afecte a todos los ejes y líneas estratégicas del
Programa.
Cada uno de estos retos puede ser superado a través de las acciones estratégicas que cada eje
presenta, empero, uno de los principales obstáculos para la consecución de resultados efectivos
depende en los recursos con que cada integrante del SNT cuente para poner en marcha las políticas
públicas. Por lo que se debe llevar a cabo una propuesta y gestión apoyada en las siguientes
acciones:
- Impulsar la elaboración de un estudio diagnóstico a cada una de las entidades federativas
para identificar las necesidades prioritarias que deban ser cubiertas para hacer equitativa la
atención y garantía del derecho de protección de datos personales en el país
- Diseñar una propuesta técnica para crear un fondo o instrumentos de financiamiento de
recursos federales y locales para el apoyo a las acciones de implementación de la LGPDPPSO
en los integrantes del SNT que incluya los siguientes aspectos:
o Bases para la correcta implementación dentro del marco normativo de cada estado
del fondo o instrumento de financiamiento
o Fórmula para la repartición de los recursos de manera proporcional a las fortalezas
y debilidades de los 32 órganos garantes
o Los parámetros sobre los cuales deberá entablarse una correcta repartición de los
recursos del fondo o instrumento de financiamiento a las entidades federativas
o Reglas claras para la ejecución de los recursos por los integrantes del SNT para el
desarrollo de las acciones que coadyuven a la implementación de la LGPDPPSO
o Criterios para medir la eficacia de los procedimientos establecidos para el ejercicio
de los recursos recibidos con motivo de la implementación de este fondo o
instrumento de financiamiento
o Formatos observables para las entidades federativas para informar sobre la
administración de los recursos obtenidos, en los que sea posible verificar la
justificación de cada gasto
o Instrumentos que permitan determinar la existencia de responsabilidad y sancionar
a los organismos garantes cuando se advierta incongruencia la información que se
entregue para acreditar la justificación de su gasto respecto a los recursos
transferidos
27
- Gestionar las acciones legislativas que permitan crear un fondo o instrumento de
financiamiento de recursos federales y locales para el apoyo a las acciones de
implementación de la LGPDPPSO en los integrantes del SNT
- Desarrollar una estrategia de cabildeo legislativo a nivel local y federal, colocando el tema
en los medios de comunicación y propiciando sinergias con la sociedad civil e instituciones
de educación superior y de investigación científica
- Integrar un equipo permanente que elabore, monitoree y genere opiniones y observaciones
a los proyectos que se presenten a las Legislaturas
[Párrafo añadido conforme Actualización 2020 y párrafos eliminados conforme Actualización 2020]
28
IV.4. Contenidos por temática del Programa
1. Educación y cultura de protección de datos personales entre la sociedad mexicana
Problemática: Existe un desconocimiento generalizado sobre los temas de protección de datos
personales entre la población
Estrategia: Para que las y los titulares eviten estar en situación de vulnerabilidad, protejan sus datos
personales y los de quienes forman su entorno, y ejerzan sus derechos, se dará a conocer el tema
de la protección de los datos personales en sus diferentes vertientes.
Objetivo: Lograr el conocimiento generalizado de la protección de los datos personales
Línea estratégica Narrativa
1.1 Sensibilización, promoción, difusión y socialización sobre el tema de protección de datos personales TRANSVERSAL A [Párrafo modificado conforme Actualización 2020]
Para aumentar el nivel de conocimiento que se tiene sobre la protección a los datos personales es necesario emprender campañas adecuadas de sensibilización, promoción, difusión y socialización de la materia. Las líneas de acción a seguir se profundizan en la línea estratégica transversal A. El incremento constante del conocimiento en la materia tiene como finalidad colocar en el dominio público los temas más básicos sobre la identificación de sus propios datos personales, los derechos que sobre ellos puede ejercer, los mecanismos para ejercerlos y los riesgos que con estas acciones se logran evitar9. Esto permitirá contar con una sociedad menos vulnerable a los riesgos que el mal uso de los datos personales puede acarrear en sus bienes y persona. [Párrafo eliminado conforme Actualización 2020]
9 Por ejemplo, en el INAI se cuenta con sólo dos medios para la presentación de denuncias: “I. Por escrito. A través de documento presentado, de manera personal o mediante correo certificado, en oficialía de partes, en el domicilio del Instituto, ubicado en Insurgentes Sur 3211, Colonia Insurgentes Cuicuilco, Delegación Coyoacán, Código Postal 04530, México, Distrito Federal, o II. Medios electrónicos: A través de correo electrónico enviado a la cuenta [email protected] o mediante el Sistema de Protección de Datos Personales (IFAI-PRODATOS), ubicado en el sitio web https://www.datospersonales.org.mx/.”
29
Línea estratégica Narrativa
1.2 Incluir de la generación de una cultura de protección de datos personales en los programas educativos [Párrafo eliminado conforme Actualización 2020]
Al colocar el tema de la protección de datos personales en los programas educativos se le da notoriedad a un tema que en México se ha desarrollado como una contraparte al derecho de acceso a la información. Incluirlo en los programas educativos de distintos niveles permitirá que consistente y progresivamente se incremente y se refine el conocimiento de la población respecto al cuidado de sus datos personales. Esto permite, además de incrementar el nivel de conocimiento del tema entre la población, alentar el desarrollo de profesionales y especialistas en la materia que puedan cubrir las necesidades de perfiles que se requerirán para el adecuado cumplimiento de los deberes y obligaciones que la LGPDPPSO y las leyes estatales en la materia imponen. [Párrafo eliminado conforme Actualización 2020]
1.3 Acompañar a los usuarios digitales en el cierre de la brecha digital en materia de protección de datos personales [Párrafo eliminado conforme Actualización 2020]
El proceso de integración tecnológica es inevitable y trae consigo tanto beneficios como riesgos potenciales e incertidumbre en el tratamiento que reciben los datos personales de sus titulares. Es necesario entonces, acompañar este proceso con la adecuada información acerca de la protección de datos personales en el uso de las nuevas tecnologías de la información. Se hace entonces indispensable que se conozcan las potenciales situaciones de riesgo, en un ámbito en constante evolución como lo son las tecnologías de la información, para así poder dotar a los usuarios de las medidas de seguridad adecuadas de manera que se puedan gozar los beneficios que estas tecnologías acarrean, sin detrimento de sus datos personales. [Párrafo eliminado conforme Actualización 2020]
30
Línea estratégica Narrativa
1.4 Visibilizar el volumen y tipo de posibles vulneraciones
TRANSVERSAL A [Párrafo modificado conforme Actualización 2020]
La generación de una conciencia adecuada para la protección de los datos personales incluye la difusión de los riesgos a los que nos enfrentamos por no atender a las recomendaciones básicas en la materia. Es difícil hacer conciencia sobre un problema del cual se desconoce su magnitud. Contar con estudios confiables y verificables permitirá no sólo contextualizar a las y los titulares, sino a las mismas autoridades sobre el problema al que se enfrentan. Las vulneraciones a los datos personales de la población no son percibidas como un riesgo cotidiano para los ciudadanos, a pesar de que constantemente se encuentran en actividades que implican la obtención de sus datos e incluso el consentimiento para su tratamiento. En la medida que estos riesgos sean conocidos por la población, es más probable que atiendan las recomendaciones preventivas que los Organismos Garantes emitan en la materia. La información sobre los riesgos a los que se exponen las y los titulares, junto con las recomendaciones para disminuirlos se deben integrar como una temática más de las líneas de acción de la línea estratégica transversal A. [Párrafo eliminado conforme Actualización 2020]
1.5 Publicitar los resultados de la protección de datos personales [Párrafo eliminado conforme Actualización 2020]
Es necesario dar a conocer los alcances y resultados que tienen las acciones que emprenden los Organismos Garantes, ya sea mediante sus resoluciones o con las políticas públicas que realizan. Esto permitirá crear en la población la confianza necesaria para acercarse a estas instituciones y atender las recomendaciones preventivas que estas emitan, al identificarlas como instituciones efectivas enfocadas a resultados. [Párrafo eliminado conforme Actualización 2020]
1.6 Fortalecer la imagen institucional de los organismos como garantes de la protección de datos personales TRANSVERSAL A [Párrafo modificado conforme Actualización 2020]
Se requiere comunicar el rol de los Organismos Garantes como instancias que promueven y garantizan el derecho a la protección de los datos personales, y no sólo como garantes del derecho de acceso a la información. Este nuevo rol debe ser integrado como temática de las líneas de acción de la línea estratégica transversal A. [Párrafo eliminado conforme Actualización 2020]
31
Líneas de acción
Línea estratégica 1.1 Sensibilización, promoción, difusión y socialización sobre el tema de protección
de datos personales
1.1.A1-A7 Incluir la cultura de la protección de datos personales
como una temática para las líneas de acción de la línea estratégica
transversal A. (Organismos Garantes)
[Párrafo eliminado conforme Actualización 2020]
Línea estratégica 1.2 Incluir la generación de una cultura de protección de datos personales en los
programas educativos
▪ 1.2.1 Definir las estrategias que permitan la integración del tema de
protección de datos personales en los programas educativos en común
acuerdo con las autoridades educativas de los distintos niveles.
(Organismos Garantes)
▪ 1.2.2 Desarrollar una ruta de adquisición de capacidades que exponga
qué elementos deben ser conocidos por el alumnado en los niveles
básico y medio superior. (Organismos Garantes)
▪ 1.2.3 Identificar aquellas carreras que son propensas a encontrar
manejo de datos personales en su desarrollo profesional (derecho,
medicina, trabajo social, ciencias políticas, ciencias de la comunicación,
administración, ingenieros en sistemas, informática, estadísticos,
actuarios, etc.) para dotarlos de contenidos relevantes a sus campos de
estudio que los sensibilicen para dar un buen tratamiento a los datos
personales. (Organismos Garantes)
▪ 1.2.4 Impulsar el desarrollo y establecimiento de diplomados,
programas de especialización y posgrado en materia de protección de
datos personales y medidas de seguridad para la información.
(Organismos Garantes)
▪ 1.2.5 Promover en los responsables el establecimiento de perfiles
profesionales para los encargados del tratamiento de datos personales.
(Organismos Garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 1.3 Acompañar a los usuarios digitales en el cierre de la brecha digital en materia
de protección de datos personales
▪ 1.3.1 Elaborar un documento bienal que dé cuenta de las tendencias y
novedades que ofrecen las tecnologías de la información y sus riesgos
en la protección de datos personales. (INAI)
32
▪ 1.3.A1-A7 En el marco de la línea estratégica transversal A, incluir a las
redes sociales y los sitios de internet como un medio idóneo para
presentar los mensajes referentes al uso de las nuevas tecnologías de
la información. (Integrantes del SNT)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 1.4 Visibilizar el volumen y tipo de posibles vulneraciones
▪ 1.4.1 Identificar los distintos tipos de riesgo a los que se enfrentan las y
los titulares al dar sus datos personales a instituciones públicas.
(Integrantes del SNT)
▪ 1.4.2 Revisar estudios similares en otros países y entre entidades
federativas e identificar las metodologías más adecuadas para el
desarrollo de métricas acondicionadas a la situación mexicana.
(Organismos Garantes)
▪ 1.4.3 Compilar los datos necesarios para poder establecer el número de
vulneraciones que sufren los datos personales de las y los titulares.
(Organismos Garantes)
▪ 1.4.4 Generar un documento de análisis de los datos obtenidos sobre el
volumen y tipo de posibles vulneraciones, que incluya un análisis de
riesgos y estudios internacionales similares, para generar conocimiento
estratégico que apoye la toma de decisiones y permita establecer los
mensajes adecuados para las y los titulares. (INAI)
▪ 1.4.A1-A7 Incluir estos riesgos de vulneración como una temática para
las líneas de acción de la línea estratégica transversal A. (Integrantes del
SNT)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 1.5 Publicitar los resultados de la protección de datos personales
▪ 1.5.1 Identificar las resoluciones y políticas públicas más relevantes en
materia de protección de datos personales que han sido producidos por
el Organismo Garante. (Organismos Garantes)
▪ 1.5.2 Enumerar y difundir los beneficios que generan las medidas de
protección de datos personales que son promovidas desde el
Organismo Garante. (Organismos Garantes)
▪ 1.5.A1-A7 Incluir los resultados de la protección de datos personales como una
temática para las líneas de acción de la línea estratégica transversal A.
(Organismos Garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
33
Línea estratégica 1.6 Fortalecer la imagen institucional de los organismos como garantes de la
protección de datos personales
▪ 1.6.A1-A7 Incluir el posicionamiento institucional como una temática para las
líneas de acción de la línea estratégica transversal A. (Organismos Garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Responsables de las líneas de acción
Líneas Estratégicas
Líneas de acción
Organismos garantes
1.1, 1.2. 1.3, 1.4, 1.5, 1.6
1.1.A1-A7, 1.2.1, 1.2.2, 1.2.3, 1.2.4, 1.2.5, 1.4.2, 1.4.3, 1.5.1, 1.5.2, 1.5.A1-A7, 1.6.A1-A7 [Párrafo modificado conforme Actualización 2020]
Integrantes del SNT 1.3, 1.4 1.3.A1-A7, 1.4.1, 1.4.A1-A7
INAI 1.3, 1.4 1.3.1, 1.4.4
2. Ejercicio de los derechos ARCO y de portabilidad
Problemática: El ejercicio de los derechos ARCO es reducido entre la población mexicana, mientras
que la portabilidad de datos personales es un elemento novedoso que exige condiciones
tecnológicas muy específicas para su realización.
Estrategia: Para generar una protección de datos adecuada y contar con bases de datos precisas en
el sector público, se requiere que los ciudadanos ejerzan sus derechos ARCO y la portabilidad de
datos personales, siempre y cuando sea técnicamente posible.
Objetivo: Establecer las bases para que exista un ejercicio adecuado de los derechos ARCO y la
portabilidad de datos personales
34
Línea estratégica Narrativa
2.1 Sensibilización, promoción, difusión y socialización sobre los derechos ARCO y la portabilidad de datos personales TRANSVERSAL A [Párrafo modificado conforme Actualización 2020]
Con la finalidad de generar entre las y los titulares el ejercicio adecuado de sus derechos ARCO y la portabilidad de datos personales, se vuelve indispensable proveerlos con la información necesaria para que los conozcan y puedan acceder a los mecanismos de garantía. Al dotar de información a las y los titulares, éstos serán capaces de proteger sus datos personales de la manera que mejor les parezca. Así mismo, facilitará a las autoridades la garantía de estos derechos al permitir a las y los titulares ejercerlos con claridad y certeza de que sus acciones son las adecuadas. Para lograr este cometido es indispensable incluir el tema de los derechos ARCO entre las temáticas de las líneas de acción que se exponen en la línea estratégica transversal A. [Párrafo eliminado conforme Actualización 2020]
2.2 Inclusión del tema de derechos ARCO en los programas educativos [Párrafo eliminado conforme Actualización 2020]
Tanto las definiciones de estos derechos, como la explicación de los mecanismos que permiten su ejercicio, deben formar parte de las temáticas que se incluyan en las líneas de acción expuestas previamente para la inclusión de temas de protección de datos personales en los programas educativos. [Párrafo eliminado conforme Actualización 2020]
2.3 Vincular el ejercicio de los derechos ARCO con el acceso a otros derechos con enfoque de derechos humanos y perspectiva de género [Párrafo eliminado conforme Actualización 2020]
El ejercicio de los derechos ARCO puede servir como una forma de acceder de mejor modo y en mayor medida a otros derechos. Ya que permiten facilitar la generación de beneficios para las y los titulares por parte de los responsables, así como brindar certeza a las y los titulares sobre sus datos personales. Esto genera mayor confianza en las instituciones públicas. [Párrafo eliminado conforme Actualización 2020]
2.4 Mejorar continuamente los mecanismos de acceso a los derechos ARCO [Párrafo eliminado conforme Actualización 2020]
Que las y los titulares tengan mejores métodos para hacer uso de sus derechos ARCO y la portabilidad de datos personales genera la posibilidad de un mayor y más adecuado uso de estos derechos. El control de las y los titulares sobre sus datos personales acarrea beneficios tanto para ellos como para las instituciones gubernamentales que tratan dichos datos. Al contar con una mayor posibilidad en el ejercicio de estos derechos, las y los titulares pueden evitar incurrir en costos innecesarios. Así mismo, los responsables tienen certeza sobre la información con la que cuentan y, en su caso, el consentimiento de sus titulares para utilizarla. [Párrafo eliminado conforme Actualización 2020]
35
Línea estratégica Narrativa
2.5 Reducir costos asociados en el ejercicio de los derechos ARCO [Párrafo eliminado conforme Actualización 2020]
Reducir al mínimo los costos que puedan desprenderse de los mecanismos que permiten el ejercicio de los derechos ARCO, es una de las herramientas más importantes para ampliar su ejercicio entre la población. Garantizar que la situación social o económica no impedirá el ejercicio consciente e informado de sus derechos, permitirá un ejercicio más amplio de los mismos, la generación de más resultados positivos para las y los titulares y una mayor confianza en los Organismos Garantes de estos derechos. [Párrafo eliminado conforme Actualización 2020]
2.6 Fortalecimiento de los Organismos Garantes para el adecuado impulso al ejercicio de los derechos ARCO TRANSVERSAL B [Párrafo modificado conforme Actualización 2020]
Contar con Organismos Garantes efectivos generará confianza entre las y los titulares, y favorecerá el ejercicio de sus derechos con la certeza de estar respaldados por una institución fuerte y enfocada a resultados. Las líneas de acción que permitirán alcanzar este objetivo se desarrollan en la línea estratégica transversal B. [Párrafo modificado conforme Actualización 2020]
2.7 Acompañar a los usuarios digitales en el cierre de la brecha digital para el ejercicio de los derechos ARCO y el desarrollo de sus herramientas de facilitación [Párrafo eliminado conforme Actualización 2020]
Dotar de certeza a las y los titulares sobre las nuevas tecnologías de la información, y cómo a través de ellas se pueden ejercer los derechos ARCO y la portabilidad de datos personales en las instituciones públicas. [Párrafo eliminado conforme Actualización 2020]
2.8 Desarrollar herramientas de facilitación para el ejercicio de los derechos de las y los titulares [Párrafo eliminado conforme Actualización 2020]
Ante la novedad del tema en México y las acciones de difusión que en materia de derechos ARCO y portabilidad se emprendan, se hace necesaria la elaboración de herramientas que permitan a las y los titulares entender los mecanismos mediante los cuales pueden ejercer de manera adecuada sus derechos. Dotar a las y los titulares de herramientas que permitan un ejercicio claro, sencillo y práctico de sus derechos, permitirá alcanzar los objetivos de este eje. Con el desarrollo y difusión de estas herramientas, entre otros aspectos, se aspira a generar confianza en el trabajo de los organismos garantes. [Párrafo eliminado conforme Actualización 2020]
36
Línea estratégica Narrativa
2.9 Desarrollar un marco homogéneo para la implementación de acciones en materia de portabilidad [Párrafo eliminado conforme Actualización 2020]
La novedad del tema de portabilidad de los datos personales en el sector público, requiere que los organismos garantes del derecho a la protección de los datos personales establezcan un marco teórico y jurídico que dote de certidumbre a los responsables en el desarrollo de las acciones que en este tema se desarrollen. [Párrafo eliminado conforme Actualización 2020]
Líneas de acción
Línea estratégica 2.1 Sensibilización, promoción, difusión y socialización sobre los derechos ARCO
y la portabilidad de datos personales
▪ 2.1.A1-A7 Incluir el ejercicio de los derechos ARCO como una temática para las
líneas de acción de la línea estratégica transversal A. (Organismos Garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 2.2 Inclusión del tema de derechos ARCO en los programas educativos
▪ 2.2.1 Definir las estrategias que permitan la integración del ejercicio de
los derechos ARCO y la portabilidad de datos personales en los
programas educativos en común acuerdo con las autoridades
educativas de los distintos niveles (Organismos garantes)
▪ 2.2.2 Desarrollar una ruta de adquisición de capacidades que exponga
los elementos que deben ser conocidas por el alumnado y en los niveles
básico y medio superior. (Organismos garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 2.3 Vincular el ejercicio de los derechos ARCO con el acceso a otros derechos con
enfoque de derechos humanos y perspectiva de género
37
▪ 2.3.1 Visibilizar el ejercicio de los derechos ARCO a distintos sectores de la
población como medio para mejorar el acceso a la salud, educación, empleo,
seguridad y justicia (Organismos garantes)
▪ 2.3.2 Establecer convenios con otros sectores o partes interesadas para
impulsar el ejercicio de los derechos ARCO y la promoción de los objetivos de
este PRONADATOS (Organismos garantes)
▪ 2.3.4 Impulsar el desarrollo de consultas a grupos vulnerables sobre las
necesidades que perciben en la protección de sus datos personales como un
mecanismo institucional de diagnóstico (INAI)
▪ 2.3.5 Impulsar el establecimiento o mejora continua de centros de atención a
la sociedad (CAS) para beneficio de las y los titulares en el ejercicio de sus
derechos ARCO (Organismos garantes)
▪ 2.3.6 Impulsar el establecimiento de condiciones que establezcan la
accesibilidad al ejercicio de los derechos ARCO a grupos vulnerables (Organismos
garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 2.4 Mejorar continuamente los mecanismos de acceso a los derechos ARCO
▪ 2.4.1 Facilitar los medios de identificación de las y los titulares hasta
donde las medidas de seguridad permitan la pertinencia de esto.
(Integrantes del SNT)
▪ 2.4.2 Revisar los mecanismos existentes y extender su alcance para
poder abarcar a un mayor número de titulares. (Integrantes del SNT)
▪ 2.4.3 Actualizar de acuerdo a la LGPDPPSO los parámetros de los sistemas
informáticos existentes para el ejercicio de los derechos ARCO en las entidades
federativas. (Organismos garantes)
▪ 2.4.4 Identificar los sectores y responsables que tengan una mayor demanda
potencial en el ejercicio de los derechos ARCO (Organismos garantes)
▪ 2.4.5 Promover el desarrollo de acciones de mejora continua a los
procedimientos de ejercicio de los derechos ARCO de manera
privilegiada en los sectores y responsables que tengan una mayor
demanda potencial de los mismos (Organismos garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
38
Línea estratégica 2.5 Reducir costos asociados en el ejercicio de los derechos ARCO
▪ 2.5.1 Implementar los mecanismos para informar a los usuarios de su derecho
a utilizar los mecanismos de ejercicio de sus derechos que más convengan a sus
intereses, mostrando todas las ofertas y los costos que cada opción tiene
asociado, reiterando siempre que el ejercicio de los derechos ARCO deberá ser
gratuito10. (Integrantes del SNT)
▪ 2.5.2 Revisar las legislaciones y reglamentaciones que impongan restricciones
de facto al ejercicio de los derechos ARCO para recomendar su ajuste y
adecuación. (Integrantes del SNT)
▪ 2.5.3 Atendiendo al artículo 50 de la LGPDPPSO, los Organismos Garantes
podrán suscribir convenios de colaboración para que se pueda exceptuar el
pago en aquellos casos en que atendiendo a circunstancias socioeconómicas los
costos de reproducción se conviertan en una carga prohibitiva para que la o el
titular ejerza sus derechos. (Organismos garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 2.6 Fortalecimiento de los Organismos Garantes para el adecuado impulso al
ejercicio de los derechos ARCO
▪ 2.6.B1-B20 Incluir el impulso al ejercicio de los derechos ARCO conforme a la
línea estratégica transversal B (Organismos garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 2.7 Acompañar a los usuarios digitales en el cierre de la brecha digital para el
ejercicio de los derechos ARCO y el desarrollo de sus herramientas de facilitación
▪ 2.7.1 Elaborar un documento bienal que dé cuenta de las tendencias y
novedades que ofrecen las tecnologías de la información y sus riesgos
en la protección de datos personales. (INAI)
▪ 2.7.2 Identificar los riesgos que estas tendencias y novedades conllevan
para el ejercicio de los derechos ARCO y el desarrollo de sus
herramientas de facilitación. (Integrantes del SNT)
▪ [Párrafo eliminado conforme Actualización 2020]
10 En términos de lo establecido por el artículo 50 de la LGPDPPSO
39
Línea estratégica 2.8 Desarrollar herramientas de facilitación para el ejercicio de los derechos de
las y los titulares
▪ 2.8.1 Revisar los mecanismos existentes para el ejercicio de derechos ARCO y
aquellos que estén por comenzar a ejecutarse a fin de identificar sus aspectos
claves, para plasmar éstos en las herramientas de facilitación (guías,
recomendaciones, modelos, formatos, etc.). (Integrantes del SNT)
▪ 2.8.2 Identificar la población potencialmente usuaria de estos mecanismos a
partir de las solicitudes de ejercicio de los derechos ARCO, así como sus
características, para poder establecer los mejores medios en la generación de
estas herramientas. (Integrantes del SNT)
▪ 2.8.3 Emprender soluciones innovadoras en los mecanismos para el ejercicio de
los derechos ARCO, en ejercicios piloto para observar sus resultados en la
práctica, manteniendo un registro adecuado de los costos que implica y los
beneficios que generan a las y los titulares. (Integrantes del SNT)
▪ 2.8.A1-A7 Incluir las herramientas de facilitación para las líneas de acción de la
línea estratégica transversal A. (Integrantes del SNT)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 2.9 Desarrollar un marco homogéneo para la implementación de acciones en
materia de portabilidad
▪ 2.9.1 Desarrollar un modelo teórico que establezca con certeza los alcances y
objetivos de la portabilidad de los datos personales en el sector público.
(Organismos garantes)
▪ 2.9.2 Promover la implementación de acciones por parte de responsables
relevantes en el marco del mencionado modelo. (Organismos garantes)
▪ 2.9.3 Desarrollar herramientas de seguimiento, medición y evaluación de los
mecanismos de portabilidad que se lleguen a desarrollar. (Organismos garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Responsables de las líneas de acción
Líneas Estratégicas
Líneas de acción
Organismos garantes
2.1, 2.2, 2.3, 2.4, 2.5, 2.6, 2.7, 2.8, 2.9
2.1.A1-A7, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.3.5, 2.3.6, 2.4.3, 2.4.4, 2.4.5, 2.5.3, 2.6.B1-B20, 2.9.1, 2.9.2, 2.9.3 [Párrafo modificado conforme Actualización 2020]
Integrantes del SNT
2.4, 2.5, 2.7, 2.8
2.4.1, 2.4.2, 2.5.1, 2.5.2, 2.7.2, 2.8.1, 2.8.2, 2.8.3, 2.8.A1-A7
INAI 2.3, 2.7.1 2.3.4, 2.7.1
40
3. Capacitación a los responsables en materia de protección de datos personales
Problemática: Los servidores públicos que tratan datos personales en el ejercicio de sus funciones
no cuentan con capacidades técnicas adecuadas
Estrategia: Para garantizar una adecuada protección a los datos personales que son tratados en el
sector público se requiere que los servidores públicos que tratan datos personales en su quehacer
cotidiano cuenten con las capacidades técnicas apropiadas
Objetivo: Promover que existan las capacidades técnicas adecuadas y suficientes entre los
servidores públicos para la protección de los datos personales
Línea estratégica Narrativa
3.1 Sensibilización, promoción, difusión y socialización constantes, eficaces y evaluables TRANSVERSAL A [Párrafo modificado conforme Actualización 2020]
Los servidores públicos son personas que se desempeñan profesionalmente en el ámbito gubernamental. En este sentido, no están exentos de contar con pocos referentes en materia de protección de datos personales. Por esta razón es indispensable tomarlos en consideración como uno de los públicos que necesita ser alcanzado por las líneas de acción de la línea estratégica transversal A, particularmente aquellos que participan del tratamiento de datos que se realice en sus instituciones. [Párrafo eliminado conforme Actualización 2020]
3.2 Desarrollo institucionalizado de prioridades y criterios para la generación de capacidades y competencias [Párrafo eliminado conforme Actualización 2020]
Los responsables requieren identificar entre sus actividades institucionales aquellas en las que se tratan datos personales, y con ellos definir sus prioridades de capacitación en la materia y poder atender estas temáticas con preponderancia. Atender los problemas inmediatos de los responsables ante sus nuevas obligaciones en materia de protección de datos personales, permitirá generar el apoyo de estas instituciones como primer punto de contacto de las y los titulares con las instancias gubernamentales. [Párrafo eliminado conforme Actualización 2020]
3.3 Vincular las actividades de capacitación con los objetivos de los programas institucionales [Párrafo eliminado conforme Actualización 2020]
La articulación entre los procesos de capacitación en materia de datos personales y su potencial para la obtención de resultados en los responsables puede generar su internalización, y finalmente su institucionalización. Partir de una explicación de los beneficios que conllevan, tanto la misma capacitación en la materia, como la aplicación constante de los conocimientos adquiridos en los tratamientos de datos personales que llevan a cabo los responsables, generará que en sus políticas institucionales se cumpla con la normatividad aplicable en la materia por defecto [Párrafo eliminado conforme Actualización 2020]
41
Línea estratégica Narrativa
3.4 Fortalecimiento de los Organismos Garantes para dar vista a la autoridad administrativa competente conforme a la normatividad aplicable [Párrafo modificado conforme Actualización 2019] TRANSVERSAL B [Párrafo modificado conforme Actualización 2020]
Muchas de las actividades que se deben desarrollar en materia de protección de datos personales son fundamentalmente obligaciones que deben ser cumplidas y cuya omisión conlleva poner en riesgo los datos personales tratados. La aplicación de las líneas de acción de la línea estratégica transversal B permitirá que los Organismos Garantes puedan presentarse como un ejecutor válido de estas disposiciones, e impulsar el interés de los responsables para capacitar a su personal y con ello dar cumplimiento efectivo a sus nuevas obligaciones. [Párrafo eliminado conforme Actualización 2020]
3.5 Desarrollar acciones para el involucramiento de las Organizaciones de las Sociedad Civil (OSC’s) en materia de capacitación [Párrafo eliminado conforme Actualización 2020]
La sociedad civil organizada cuenta con recursos valiosos, que pueden ser utilizados para impulsar la agenda de capacitación en materia de protección de datos personales. Tener aliados de la sociedad civil en estos esfuerzos genera una influencia positiva en los responsables para persistir en las labores de capacitación a su personal en materia de protección de datos personales. [Párrafo eliminado conforme Actualización 2020]
Líneas de acción
Línea estratégica 3.1 Sensibilización, promoción, difusión y socialización constantes, eficaces y
evaluables
▪ 3.1.A1-A7 Incluir a los servidores públicos como una de las poblaciones objetivo
para las líneas de acción de la línea estratégica transversal A. (Organismos garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 3.2 Desarrollo institucionalizado de prioridades y criterios para la generación de
capacidades y competencias
▪ 3.2.1 Impulsar la elaboración documentos de control de riesgos en los
responsables, para identificar aquellos datos personales cuyo
tratamiento se encuentra más vulnerable para trazar prioridades.
(Organismos garantes)
▪ 3.2.2 Identificar desde los Organismos Garantes a aquellos sectores y
responsables que realizan un tratamiento de datos personales
constante y de volumen más significativo, para apoyarlos en el
establecimiento de sus prioridades de capacitación. (Organismos garantes)
42
▪ 3.2.3 Impulsar que todos los responsables del país cumplan con su
obligación de hacer un inventario o mapeo de sus tratamientos de datos
personales, poniendo especial atención en aquellos que se desarrollan
de forma más constante. (Integrantes del SNT)
▪ 3.2.4 Supervisar la creación e implementación de avisos de privacidad
que indiquen el tratamiento y protección de los datos personales así
como demás instrumentos aplicables. (Organismos garantes)
▪ 3.2.5 Ampliar la cobertura de la capacitación en línea por medio del
Centro Virtual de Formación en Acceso a la Información y Protección de
Datos Personales. (Organismos Garantes)
▪ 3.2.6 Establecer propuestas de capacitación desde los Organismos
Garantes basadas en la información que se logre recopilar de las líneas
de acción previamente sugeridas. (Organismos garantes)
▪ 3.2.7 Establecer canales de comunicación con los funcionarios públicos
capacitados, para contar con información de primera mano que permita
la atención de las necesidades de capacitación. (Organismos garantes)
▪ 3.2.8 Establecer un conjunto de criterios que permitan determinar la
vulnerabilidad que pueden llegar a tener los datos personales en el
marco del SNT (Organismos garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 3.3 Vincular las actividades de capacitación con los objetivos de los programas
institucionales
▪ 3.3.1 Construir guías y planes de capacitación que cuenten con
narrativas específicas para cada una de las temáticas que permitan
vincular éstas con una mejora en el desarrollo de las acciones de los
responsables. (Organismos garantes)
▪ 3.3.2 Establecer Redes por una Cultura de la Transparencia y Protección
de Datos como canales de comunicación con los funcionarios públicos
para contar con información de primera mano que permita ajustar e
implementar las narrativas desarrolladas. (Organismos garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 3.4 Fortalecimiento de los Organismos Garantes para dar vista a la autoridad
administrativa competente conforme a la normatividad aplicable
[Párrafo modificado conforme Actualización 2019]
43
▪ 3.4.B1-B20 Incluir el dar vista a la autoridad administrativa competente
conforme a la línea estratégica transversal B (Organismos garantes)
[Párrafo modificado conforme Actualización 2019]
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 3.5 Desarrollar acciones para el involucramiento de las OSC’s en materia de
capacitación
▪ 3.5.1 Establecer contacto con los secretariados técnicos locales y/o con los
responsables de los mecanismos de participación ciudadana de aquellos
responsables que dan un tratamiento constante a datos personales. (Organismos
garantes)
▪ 3.5.2 Dotar con información referente a la protección de los datos personales a
los actores relevantes de la sociedad civil en los mecanismos anteriormente
contactados. (Integrantes del SNT)
▪ 3.5.3 Impulsar el establecimiento de compromisos que privilegien el
seguimiento conjunto de las acciones de capacitación en materia de protección
de datos personales de los responsables. (Integrantes del SNT)
▪ [Párrafo eliminado conforme Actualización 2020]
Responsables de las líneas de acción
Líneas Estratégicas
Líneas de acción
Organismos garantes
3.1, 3.2, 3.3, 3.4, 3.5
31.A1-A7, 3.2.1, 3.2.2, 3.2.4, 3.2.5, 3.2.6, 3.2.7, 3.2.8, 3.3.1, 3.3.2, 3.4.B1-B20, 3.5.1 [Párrafo modificado conforme Actualización 2020]
Integrantes del SNT
3.2, 3.5 3.2.3, 3.5.2, 3.5.3
4. Implementación y mantenimiento de un sistema de gestión de seguridad
Problemática: Faltan medidas de seguridad de los datos personales en posesión de los responsables
Estrategia: Para garantizar que los datos personales tratados en el sector público mantengan sus
atributos de integridad, confidencialidad y disponibilidad, es necesario implementar medidas de
seguridad
Objetivo: Fomentar que los responsables establezcan un sistema de gestión de seguridad para
garantizar que cuenten con medidas de seguridad de la información
44
Línea estratégica Narrativa
4.1 Desarrollar herramientas y metodologías para la implementación de sistemas de gestión de seguridad [Párrafo eliminado conforme Actualización 2020]
Para un número importante de responsables del tratamiento de datos personales, los sistemas de gestión de seguridad de la información son un tema novedoso que ahora la LGPDPPSO les mandata contemplar e integrar a su organización. El SNT se plantea facilitar este proceso para permitir a los responsables cumplir con la normativa y, al tiempo, mejorar su gestión de información interna. [Párrafo eliminado conforme Actualización 2020]
4.2 Desarrollar diagnósticos, herramientas y metodologías para el mantenimiento y mejora de los sistemas de gestión de seguridad [Párrafo eliminado conforme Actualización 2020]
Los sistemas de gestión de seguridad existentes, y aquellos que se instalen a partir de las acciones que este PRONADATOS impulse, requieren de esfuerzos que permitan su institucionalización. La integración de las medidas de seguridad en los responsables del tratamiento de datos personales y su internalización por parte de los servidores públicos que tratan estos datos, es la base fundamental para generar cambios que perduren en el sector público en la materia. [Párrafo eliminado conforme Actualización 2020]
4.3 Sensibilización, promoción, difusión y socialización de los sistemas de gestión de seguridad TRANSVERSAL A [Párrafo modificado conforme Actualización 2020]
Los sistemas de gestión de seguridad son un tema particular e interdisciplinario poco reconocido en el ámbito público. Como tal, debe ser integrado a las temáticas que sean abarcadas por las líneas de acción de la línea estratégica transversal A. [Párrafo eliminado conforme Actualización 2020]
4.4 Crear y difundir material relacionado con la seguridad de datos personales [Párrafo eliminado conforme Actualización 2020]
Los sistemas de seguridad de datos pueden ser muy variados e ir desde medidas de seguridad física tan sencillas o tan complejas como el establecimiento de protocolos de seguridad informática para el acceso a bases de datos que requieren ser compartidas por una gran cantidad de usuarios. Para concientizar sobre los procesos de seguridad es necesario contar con materiales que presenten esta información de forma efectiva. [Párrafo eliminado conforme Actualización 2020]
45
Línea estratégica Narrativa
4.5 Sensibilización sobre los beneficios de contar con un sistema de gestión de seguridad en los responsables [Párrafo eliminado conforme Actualización 2020]
La implementación de sistemas de gestión de seguridad de los datos personales requiere de una revisión exhaustiva de los procesos operativos que involucran el tratamiento de datos personales en las instituciones públicas. Esto permite replantear los procesos operativos que involucren el tratamiento de datos personales, permitiendo la identificación de áreas de oportunidad y mejora, así mismo, hacer más eficientes los esfuerzos y garantizar los atributos de calidad de los datos personales tratados. [Párrafo eliminado conforme Actualización 2020]
4.6 Difundir casos de éxito [Párrafo eliminado conforme Actualización 2020]
Al momento, no se cuenta con un diagnóstico claro de la situación de los sistemas de información de los responsables (sujetos obligados) en el país. Ante esta situación, es factible pensar que algunos de ellos tienen sistemas que pueden considerarse adecuadamente seguros. Usar sus experiencias como ejemplo, o generar un caso de éxito ejemplar, facilita la difusión del tema y su relevancia, al contar con un modelo observable en funcionamiento. [Párrafo eliminado conforme Actualización 2020]
4.7 Profesionalización encaminada a la cultura de la seguridad de los datos personales y el manejo de sistemas de seguridad [Párrafo eliminado conforme Actualización 2020]
El perfil del profesional que se requiere para la implementación de sistemas de gestión de seguridad de los datos personales es muy característico, mezcla habilidades de expertos en sistemas, expertos en seguridad informática y expertos en protección de datos personales. La información sobre las certificaciones profesionales que pueden adquirir las personas que deseen desempeñarse en el tema de los sistemas de seguridad de datos personales debe ser difundida. La seguridad de los datos personales puede y debe ser integrada como parte de la cultura del servicio público. Es necesario que los responsables tengan cabida para un perfil especialista en seguridad de datos personales. [Párrafo eliminado conforme Actualización 2020]
Líneas de acción
Línea estratégica 4.1 Desarrollar herramientas y metodologías para la implementación de sistemas
de gestión de seguridad
▪ 4.1.1 Construir metodologías para el mapeo de los flujos y tratamientos
de datos personales para su uso al interior de las instituciones
responsables. (Organismos Garantes)
46
▪ 4.1.2 Elaborar una herramienta de autodiagnóstico que permita a los
responsables identificar sus necesidades de seguridad en el tratamiento
de datos personales. (Organismos Garantes)
▪ 4.1.3 Compilar por Organismo Garante la información de las
herramientas de autodiagnóstico respondidas por los responsables
para su sistematización y análisis conforme a la metodología de la
herramienta. (Organismos Garantes)
▪ 4.1.4 Trazar las acciones generales para la atención de los distintos tipos
de necesidades que surjan a partir del análisis de las respuestas a la
herramienta de autodiagnóstico de los responsables. (Organismos
Garantes)
▪ 4.1.5 Dar seguimiento a la implementación de las acciones
recomendadas a los responsables del tratamiento de datos personales
para la instalación de su sistema de gestión de seguridad de la
información. (Organismos Garantes)
▪ 4.1.6 Promover la vinculación necesaria entre los sistemas de seguridad
y los sistemas institucionales de archivo. (Organismos Garantes)
▪ 4.1.7 Privilegiar el desarrollo de herramientas, metodologías y acciones para la
implementación de adecuados sistemas de seguridad en registros públicos,
instituciones que traten expedientes clínicos y en su caso de otros sectores que
se consideren relevantes (Organismos Garantes)
▪ 4.1.8 Facilitar a los responsables diversas metodologías para la elaboración de
análisis de riesgos y de brecha, a fin de que cuenten con un nivel aceptable de
protección de datos personales. (Organismos Garantes)
▪ 4.1.9 Reconocer niveles adecuados de protección y cláusulas tipo en
contratos entre responsables y encargados para facilitar el régimen de
transferencias. (Organismos Garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 4.2 Desarrollar diagnósticos, herramientas y metodologías para el
mantenimiento y mejora de los sistemas de gestión de seguridad
▪ 4.2.1 Elaborar herramientas de autodiagnóstico que permitan a los
responsables identificar las nuevas necesidades y vulnerabilidades de
los sistemas de gestión seguridad que están operando. (Organismos
Garantes)
▪ 4.2.2 Dar seguimiento a la atención de las necesidades y
vulnerabilidades detectadas en los de gestión seguridad operados por
los responsables. (Organismos Garantes)
47
▪ 4.2.3 Impulsar el desarrollo de las acciones de mejora en los sistemas
de seguridad existentes en particular en los registros públicos e
instituciones que tratan expedientes clínicos y en su caso de otros
sectores que se consideren relevantes (Organismos Garantes)
▪ 4.2.4 Prever medidas de seguridad en el tratamiento de los datos
personales, considerando de ser el caso, la inclusión del tema de
sistemas de gestión de seguridad y su operación (Integrantes del SNT)
▪ 4.2.5 Contribuir con experiencia técnica a la construcción de
metodologías y herramientas que fortalezcan los sistemas de gestión de
seguridad en los responsables. (INEGI)
▪ 4.2.6 Incluir en el desarrollo de la línea estratégica 5.2 Coordinación
institucional del eje V. Estándares nacionales, internacionales y
buenas/mejores prácticas en la materia la operación de los sistemas de
gestión de seguridad de la información. (Organismos Garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 4.3 Sensibilización, promoción, difusión y socialización de los sistemas de gestión
de seguridad
▪ 4.3.A1-A7 Incluir el tema de sistemas de seguridad para los responsables como
una temática para las líneas de acción de la línea estratégica transversal A.
(Organismos Garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 4.4 Crear y difundir material relacionado con la seguridad de datos personales
▪ 4.4.1 Identificar las medidas de seguridad que, por su frecuencia e impacto, son
las más pertinentes en las instituciones públicas. (Integrantes del SNT)
▪ 4.4.2 Generar materiales para la difusión de las medidas de seguridad
identificadas, así como del proceso general para el establecimiento de un
sistema de seguridad. (Integrantes del SNT)
▪ 4.4.3 Compartir estos materiales en el marco del Sistema Nacional de
Transparencia para su mayor y mejor aprovechamiento. (Integrantes del SNT)
▪ 4.4.4 Difundir los materiales identificando las temáticas, poblaciones y canales
de comunicación adecuados (Integrantes del SNT)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 4.5 Sensibilización sobre los beneficios de contar con un sistema de gestión de
seguridad en los responsables
48
▪ 4.5.1 Identificar los beneficios (adicionales al cumplimiento de los deberes y
obligaciones de la normatividad en materia de protección de datos personales)
que se generan en responsables al contar con un sistema de gestión de
seguridad de la información. (Integrantes del SNT)
▪ 4.5.2 Difundir los materiales identificando las temáticas, poblaciones y canales
de comunicación adecuados. (Integrantes del SNT)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 4.6 Difundir casos de éxito
▪ 4.6.1 Identificar a los responsables que por sus facultades y funciones pudieran
estar implementando sistemas de gestión de seguridad de datos personales
ejemplares y revisarlos para verificar su calidad. (Organismos garantes)
▪ 4.6.2 En caso de no poder identificar un responsable que por sus facultades y
funciones pudieran estar implementando sistemas de gestión de seguridad de
datos personales ejemplares, emprender un programa piloto con un
responsable que tenga un sistema de seguridad con áreas de oportunidad, para
atenderlas en colaboración y así generar una institución que pueda servir de
modelo para los demás responsables en el tratamiento de los datos personales.
(Organismos garantes)
▪ 4.6.3 Difundir los casos de éxito identificando las temáticas, poblaciones y
canales de comunicación adecuados (Organismos garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 4.7 Profesionalización encaminada a la cultura de la seguridad de los datos
personales y el manejo de sistemas de gestión de seguridad
▪ 4.7.1 Generar perfiles técnicos para el manejo de sistemas de gestión de
seguridad de datos personales (Integrantes del SNT)
▪ 4.7.2 Difundir las certificaciones profesionales en materia de sistemas de
gestión de seguridad de datos personales (Integrantes del SNT)
▪ 4.7.3 Creación de roles adecuados y diferenciados para el manejo de sistemas
gestión de seguridad de datos personales, incluyendo, en su caso, al oficial de
protección de datos personales (Integrantes del SNT)
▪ 4.7.4 Promover la gestión adecuada y obtención suficiente de recursos para el
funcionamiento del sistema de gestión de seguridad de datos personales con
base en los requerimientos institucionales sustantivos (Integrantes del SNT)
▪ [Párrafo eliminado conforme Actualización 2020]
49
Responsables de las líneas de acción
Líneas Estratégicas
Líneas de acción
Organismos garantes
4.1, 4.2, 4.3, 4.4, 4.5, 4.6, 4.7
4.1.1, 4.1.2, 4.1.3, 4.1.4, 4.1.5, 4.1.6, 4.1.7, 4.1.8, 4.1.9, 4.2.1, 4.2.2, 4.2.3, 4.2.6, 4.3.A1-A7, 4.6.1, 4.6.2, 4.6.3 [Párrafo modificado conforme Actualización 2020]
Integrantes del SNT
4.2, 4.4, 4.5, 4.7
4.2.4, 4.4.1, 4.4.2, 4.4.3, 4.4.4, 4.5.1, 4.5.2, 4.7.1, 4.7.2, 4.7.3, 4.7.4
INEGI 4.2 4.2.5
5. Estándares nacionales, internacionales y buenas/mejores prácticas en la materia
Problemática: No han sido identificados los incentivos que permitan a los responsables adoptar
mejores prácticas en la protección de datos personales
Estrategia: Para generar interés en los responsables y permitir a las y los titulares la fácil
identificación de aquellas instituciones públicas que toman medidas de protección de datos
personales que van más allá de la norma se requieren incentivos adecuados.
Objetivo: Crear y facilitar la identificación de los incentivos que permiten a los responsables adoptar
mejores prácticas en la protección de datos personales
Línea estratégica Narrativa
5.1 Sensibilización, promoción, difusión y socialización sobre los mecanismos de buenas prácticas y la legislación TRANSVERSAL A [Párrafo modificado conforme Actualización 2020]
Los contextos institucionales en los que labora cada organismo garante determinarán en buena medida las alternativas más pertinentes para estimular a los responsables en la adopción de mejores prácticas que vayan más allá del cumplimiento de la normatividad. En cada caso se deberán escoger los medios idóneos para comunicar la existencia de los mecanismos para la adopción de mejores prácticas en los responsables. Es necesario incluir estos mecanismos en las líneas de acción de la línea estratégica transversal A. [Párrafo eliminado conforme Actualización 2020]
5.2 Coordinación interinstitucional con los actores relevantes de los mecanismos de incentivos [Párrafo eliminado conforme Actualización 2020]
El establecimiento de reconocimientos, certificaciones y cualquier otro tipo de incentivos institucionales requiere de la participación coordinada de diversos actores gubernamentales que permitan la correcta operación de estos mecanismos. Ignorar éstas consideraciones puede llevar a desaprovechar esfuerzos y oportunidades. [Párrafo eliminado conforme Actualización 2020]
50
Línea estratégica Narrativa
5.3 Visibilizar los resultados de las mejores prácticas TRANSVERSAL A [Párrafo modificado conforme Actualización 2020]
Una vez establecido el mecanismo de incentivo, difundir sus resultados se vuelve un modo de legitimar e institucionalizar este proyecto. Por tanto, es necesario incluir en las líneas de acción de la línea estratégica transversal A los resultados alcanzados mediante el mecanismo en cuestión, haciendo especial énfasis no sólo en el aspecto del reconocimiento a las instituciones participantes, sino los beneficios que éstas mejores prácticas ofrecen tanto a las y los titulares como a las propias instituciones que las implementan. [Párrafo eliminado conforme Actualización 2020]
5.4 Desarrollo de acciones de involucramiento de la sociedad civil organizada en los mecanismos de incentivo para la adopción de esquemas de mejores prácticas [Párrafo eliminado conforme Actualización 2020]
Tener aliados de la sociedad civil en estos esfuerzos genera una influencia positiva en los responsables para prolongar la existencia de los mecanismos de incentivos que hagan a los responsables adoptar mejores prácticas en materia de protección de datos personales. Se sugiere emprender las líneas de acción establecidas en la estrategia mencionada con la temática de estos mecanismos. [Párrafo eliminado conforme Actualización 2020]
Líneas de acción
Línea estratégica 5.1 Sensibilización, promoción, difusión y socialización sobre los mecanismos de
buenas prácticas y la legislación
▪ 5.1.A1-A7 Incluir los mecanismos de buenas prácticas como una temática para
las líneas de acción de la línea estratégica transversal A. (Organismos Garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 5.2 Coordinación interinstitucional con los actores relevantes de los mecanismos
de incentivos
▪ 5.2.1 Realizar un estudio sobre referencias y prácticas nacionales e
internacionales en la protección de datos personales en el sector
público con énfasis en los incentivos que permitan su replicación. (INAI)
▪ 5.2.2 Definir el mecanismo de incentivo adecuado para que los
responsables adopten esquemas de mejores prácticas en materia de
protección de datos personales. (Organismos garantes)
▪ 5.2.3 Elaborar una lista de los actores relevantes para entablar un
primer contacto de acercamiento y presentación del mecanismo
propuesto. (Organismos garantes)
51
▪ 5.2.4 Reconocer las aportaciones que cada actor puede proveer al
proyecto del establecimiento del mecanismo de incentivo y emprender
la colaboración institucional necesaria para su desarrollo. (Organismos
garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 5.3 Visibilizar los resultados de las mejores prácticas
▪ 5.3.1 Identificar y publicar los resultados y experiencias más relevantes sobre
esquemas de mejores prácticas de forma sectorizada en materia de protección
de datos personales que han sido producidos por los responsables. (Integrantes
del SNT)
▪ 5.3.2 Difundir los beneficios que generan la adopción de mejores prácticas en
materia de protección de datos personales que son promovidas desde los
Organismos Garantes. (Integrantes del SNT)
▪ 5.3.A1-A7 Incluir los resultados de las mejores prácticas como una temática
para las líneas de acción de la línea estratégica transversal A. (Integrantes del SNT)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea de acción 5.4 Desarrollo de acciones de involucramiento de la sociedad civil organizada en los
mecanismos de incentivo para la adopción de esquemas de mejores prácticas
▪ 5.4.1 Privilegiar el establecimiento de contacto con los secretariados
técnicos locales y/o con los responsables de los mecanismos de
participación ciudadana de aquellos responsables que dan un
tratamiento constante a datos personales. (Organismos garantes)
▪ 5.4.2 Dotar de información referente a la adopción de esquemas de
mejores prácticas en materia de protección de los datos personales a
los actores relevantes de la sociedad civil. (Organismos garantes)
▪ 5.4.3 Impulsar el establecimiento de compromisos que privilegien el
seguimiento conjunto de la adopción de esquemas de mejores prácticas
en materia de protección de datos personales. (Integrantes del SNT)
▪ 5.4.4 Desarrollar mecanismos de reconocimiento que sean otorgados
por la sociedad civil a las buenas/mejores prácticas desarrolladas por
los organismos garantes de las entidades federativas. (Organismos
garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
52
Responsables de las líneas de acción
Líneas Estratégicas
Líneas de acción
Organismos garantes
5.1, 5.2, 5.3, 5.4
5.1.A1-A7, 5.2.2, 5.2.3, 5.2.4, 5.4.1, 5.4.2 , 5.4.4 [Párrafo modificado conforme Actualización 2020]
Integrantes del SNT
5.3, 5.4 5.3.1, 5.3.2, 5.3.A1-A7, 5.4.3
INAI 5.2 5.2.1
6. Monitoreo, seguimiento y verificación de metas
Este eje se refiere a las facultades conferidas a los Organismos Garantes por la LGPDPPSO para
realizar el monitoreo, seguimiento y verificación de las metas de desempeño de los responsables
sobre el cumplimiento de la Ley.
Problemática: Se detecta un déficit de información sistematizada que permita conocer la situación
de los responsables de la aplicación de la LGPDPPSO o las leyes estatales en la materia respecto de
su aplicación.
Estrategia: Construir un sistema de evaluación y de seguimiento al desempeño que sea eficiente,
integral, ágil, en la aplicación de la LGPDPPSO o las leyes estatales en la materia por parte de los
responsables, que permita contar con información para detectar áreas de mejora.
Objetivo: Conocer el desempeño de los responsables en la aplicación de la LGPDPPSO o las leyes
estatales en la materia
Línea estratégica Narrativa
6.1 Identificación de mecanismos de seguimiento y evaluación existentes en los responsables para el cumplimiento de la LGPDPPSO [Párrafo eliminado conforme Actualización 2020]
El monitoreo, el seguimiento y la verificación son procesos que se desarrollan fundamentalmente a partir de información. Encontrar y organizar estas fuentes de información es un gran avance en esta labor y puede dotar a estos procesos de sus insumos más básicos para analizar y considerar los avances que pudieran existir entre los responsables, dar seguimiento a sus obligaciones en la materia y definir de forma informada los componentes del sistema de evaluación del desempeño [Párrafo eliminado conforme Actualización 2020]
53
Línea estratégica Narrativa
6.2 Sensibilización: entre organismos garantes y entre éstos y los responsables para resaltar la importancia y utilidad de generar información que permita dar seguimiento a los indicadores establecidos para el cumplimiento de la LGPDPPSO por parte de los responsables, una vez que se diseñen y apliquen tales indicadores. [Párrafo modificado conforme Actualización 2019] TRANSVERSAL A [Párrafo modificado conforme Actualización 2020]
Para poder contar con información certera sobre el cumplimiento y atención por parte de los responsables de sus obligaciones en materia de protección de datos personales, se requiere dotarlos de la información necesaria y suficiente para que puedan lograrlo. Ante esta perspectiva, se vuelve indispensable que la temática de las obligaciones, responsabilidades, deberes y principios previstos en la LGPDPPSO o las leyes estatales en la materia sea una parte fundamental de las líneas de acción de la línea estratégica transversal A. [Párrafo eliminado conforme Actualización 2020]
6.3 Desarrollo de instrumentos para compilación y sistematización de información del cumplimiento de la LGPDPPSO por parte de los responsables [Párrafo eliminado conforme Actualización 2020]
No existen mecanismos y fuentes de información para el seguimiento y evaluación del cumplimiento de los responsables a lo mandatado en la LGPDPPSO o las leyes estatales en la materia. Se requiere diseñar, implementar y mantener los instrumentos que permitan reportar, compilar y analizar la información de forma ágil, aprovechando plataformas tecnológicas y optimizando cargas administrativas [Párrafo eliminado conforme Actualización 2020]
6.4 Fortalecimiento de los Organismos Garantes para implementar el sistema de seguimiento y evaluación del desempeño de los responsables en el cumplimiento de la LGPDPPSO, una vez que se cuente con dicho sistema. [Párrafo modificado conforme Actualización 2019] TRANSVERSAL B [Párrafo modificado conforme Actualización 2020]
Las actividades que se deben desarrollar para lograr que los responsables y Organismos Garantes cuenten con las capacidades necesarias para implementar el sistema de seguimiento y evaluación del desempeño en materia de protección de datos personales son indispensables. La aplicación de las líneas de acción de la línea estratégica transversal B permitirá que los Organismos Garantes puedan presentarse como un ejecutor válido de estas disposiciones, e impulsar el interés de los responsables para coadyuvar en este esfuerzo. [Párrafo eliminado conforme Actualización 2020]
6.5 Desarrollo específico de la normatividad: generar el cuerpo normativo que regirá el sistema de evaluación del desempeño de los responsables en el cumplimiento de la LGPDPPSO (lineamientos, manuales, programa de seguimiento, etcétera) [Párrafo eliminado conforme Actualización 2020]
Es importante tomar en consideración que los procesos que en esta normatividad secundaria se establezcan, si bien no deben ser completamente definidos por la normatividad, sí deben quedar indicados de forma que éstos le sean aplicables en formas homólogas a todos quienes queden vinculados a ellos. [Párrafo eliminado conforme Actualización 2020]
54
Línea estratégica Narrativa
6.6 Generación de procesos estandarizados para el cumplimiento de lo establecido en el sistema de evaluación del desempeño de los responsables en el cumplimiento de la LGPDPPSO [Párrafo eliminado conforme Actualización 2020]
No bastan las normas, las capacidades, y la sensibilización, es importante apoyar la generación de rutinas dentro de los responsables que habiliten la generación de la información que se reportará en el sistema [Párrafo eliminado conforme Actualización 2020]
Líneas de acción
Línea estratégica 6.1 Identificación de mecanismos de seguimiento y evaluación existentes en los
responsables para el cumplimiento de la LGPDPPSO
▪ 6.1.1 Identificar las obligaciones, deberes, principios y responsabilidades a los
que la LGPDPPSO y las legislaciones locales en la materia supeditan a los
responsables. (Organismos garantes)
▪ 6.1.2 Recopilar y enlistar las posibles fuentes de información que contengan
datos valiosos para la identificación de acciones cumplidas en materia de
protección de datos personales. (Organismos garantes)
▪ 6.1.3 Contactar a los generadores de la información y verificar los métodos de
recolección para asegurar la calidad de la misma. (Organismos garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 6.2 Sensibilización: entre organismos garantes y entre éstos y los responsables
para resaltar la importancia y utilidad de generar información que permita dar seguimiento a los
indicadores establecidos para el cumplimiento de la LGPDPPSO por parte de los responsables, una
vez que se diseñen y apliquen tales indicadores.
[Párrafo modificado conforme Actualización 2019]
▪ 6.2.A1-A7 Incluir al seguimiento y la verificación de metas como una
temática para las líneas de acción de la línea estratégica transversal A.
(Organismos Garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 6.3 Desarrollo de instrumentos para compilación y sistematización de información
del cumplimiento de la LGPDPPSO por parte de los responsables
▪ 6.3.1 Identificar a los sectores y responsables que por sus facultades y
funciones pudieran contar con un mayor volumen de información en el
tratamiento de datos personales. (Organismos garantes)
55
▪ 6.3.2 Establecer las variables de interés que podrán servir como datos
primarios para el sistema de seguimiento y evaluación. (Organismos
garantes)
▪ 6.3.3 Desarrollar los formatos que más se adecuen para capturar la
información que se requiere como insumo del sistema de seguimiento
y evaluación. (Organismos garantes)
▪ 6.3.4 Desarrollar indicadores relevantes con base en las fuentes de
información identificadas (Organismos garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 6.4 Fortalecimiento de los Organismos Garantes para implementar el sistema de
seguimiento y evaluación del desempeño de los responsables en el cumplimiento de la LGPDPPSO,
una vez que se cuente con dicho sistema.
[Párrafo modificado conforme Actualización 2019]
▪ 6.4.B1-B20 Incluir el sistema de seguimiento y evaluación en la línea estratégica
transversal B (Organismos garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 6.5 Desarrollo específico de la normatividad: generar el cuerpo normativo que
regirá el sistema de evaluación del desempeño de los responsables en el cumplimiento de la
LGPDPPSO (lineamientos, manuales, programa de seguimiento, etcétera)
▪ 6.5.1 Identificar las características de los responsables (sujetos
obligados) para el desarrollo de la norma a emitir. (Organismos garantes)
▪ 6.5.2 Definición de los criterios básicos, diseño de indicadores,
estándares y formas de evaluación de los responsables (sujetos
obligados)11. (Organismos garantes)
▪ 6.5.3 Evaluar los criterios, indicadores, estándares y formas de
evaluación una vez que hayan sido desarrollados y aplicados para
considerar si se está generando la información necesaria para el
monitoreo, seguimiento y verificación. (Organismos garantes)
▪ 6.5.4 Impulsar reformas en aquellas disposiciones que generen
obstáculos para la consecución y evaluación de las metas que la el
sistema de evaluación y monitoreo se propone. (Organismos garantes)
▪ 6.5.5 Establecimiento de hitos de seguimiento para los procesos de
monitoreo, seguimiento, verificación y evaluación en la materia.
(Organismos garantes)
11 Si bien no se requiere que estos elementos queden planteados en la normatividad secundaria, sí es importante contar con claridad sobre los mismos durante en desarrollo de las disposiciones.
56
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 6.6 Generación de procesos estandarizados para el cumplimiento de lo establecido
en el sistema de evaluación del desempeño de los responsables en el cumplimiento de la LGPDPPSO
▪ 6.6.1 Identificar buenas prácticas en los responsables (sujetos obligados) para
la integración de información relevante a la protección de datos personales.
(Organismos garantes)
▪ 6.6.2 Esquematizar las etapas del sistema de evaluación y seguimiento a
instaurar. (Organismos garantes)
▪ 6.6.3 Promover la adopción de las rutinas más eficientes para la constante y
adecuada generación de información. (Organismos garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Responsables de las líneas de acción
Líneas Estratégicas
Líneas de acción
Organismos garantes
6.1, 6.2, 6.3, 6.4, 6.5, 6.6
6.1.1, 6.1.2, 6.1.3, 6.2.A1-A7, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.4.B1-B20, 6.5.1, 6.5.2, 6.5.3, 6.5.4, 6.5.5, 6.6.1, 6.6.2, 6.6.3 [Párrafo eliminado conforme Actualización 2020]
7. Acciones preventivas en materia de protección de datos personales
Problemática: Las acciones y herramientas de facilitación para la protección de datos personales en
el sector público son escasas o inexistentes.
Estrategia: Para que los organismos garantes ejerzan mejor su labor rectora en la protección de
datos personales en el sector público del país, deben trabajar de manera preferencial en la
generación de acciones y herramientas de facilitación dirigidas a los responsables y a las y los
titulares.
Objetivo: Generar acciones y herramientas de facilitación para el ejercicio y tutela del derecho a la
protección de datos personales en todo el país.
Línea estratégica Narrativa
7.1 Sensibilización, promoción, difusión y socialización en acciones preventivas [Párrafo eliminado conforme Actualización 2020]
Una vez que las herramientas hayan sido desarrolladas será requerido que se incluya entre los temas sobre los cuáles aplicar las líneas de acción planteadas en la línea estratégica transversal A. Esto a su vez colaborará con la generación de casos de éxito en los modelos de gestión de datos personales. [Párrafo eliminado conforme Actualización 2020]
57
Línea estratégica Narrativa
7.2 Fortalecimiento de los Organismos Garantes para dirigir recursos específicos a las acciones preventivas y herramientas de facilitación TRANSVERSAL B [Párrafo modificado conforme Actualización 2020]
El desarrollo de estas herramientas implica la utilización de recursos institucionales que deben ser contemplados desde los procesos de planeación de los organismos garantes. En este sentido, este tema requiere de la aplicación de la línea de acción de la línea estratégica transversal B. [Párrafo modificado conforme Actualización 2020]
7.3 Impulsar las acciones preventivas y el uso de las herramientas de facilitación [Párrafo eliminado conforme Actualización 2020]
Para lograr que las acciones y herramientas de facilitación cumplan con su cometido de proveer a los responsables con orientaciones claras sobre el tema, se requiere que éstas sean enfocadas a los ámbitos de responsabilidad adecuados. Usar experiencias como ejemplo, o generar un caso de éxito ejemplar, facilita la difusión del tema y su relevancia, al contar con un modelo observable en funcionamiento. Una vez que un caso de éxito ha sido alcanzado, es relevante incluir la experiencia del responsable que lo desarrolla para su difusión. [Párrafo eliminado conforme Actualización 2020]
7.4 Incentivar el uso de efectivos controles archivísticos como acción preventiva [Párrafo eliminado conforme Actualización 2020]
Los datos personales a los que dan tratamiento los responsables obran en sistemas de información, expedientes y archivos, los cuales deben llevar una gestión adecuada y conforme a las normas en materia archivística. La gestión documental es una acción preventiva más para el tratamiento de los datos personales. [Párrafo eliminado conforme Actualización 2020]
Líneas de acción
Línea estratégica 7.1 Sensibilización, promoción, difusión y socialización en acciones preventivas
▪ 7.1.A1-A7 Incluir las acciones preventivas como una temática para las líneas de
acción de la línea estratégica transversal A. (Organismos Garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 7.2 Fortalecimiento de los Organismos Garantes para dirigir recursos específicos
a las acciones preventivas y herramientas de facilitación
▪ 7.2.B1-B20 Incluir los mecanismos para dirigir recursos específicos al desarrollo
de estas acciones con base en la línea estratégica transversal B. (Integrantes del
SNT)
▪ [Párrafo eliminado conforme Actualización 2020]
58
Línea estratégica 7.3 Impulsar las acciones preventivas y el uso de las herramientas de facilitación
▪ 7.3.1 Establecer los ámbitos de responsabilidad en el desarrollo de las
herramientas de facilitación. (Integrantes del SNT)
▪ 7.3.2 Desarrollar sectorialmente casos de éxito en la aplicación de las
acciones preventivas y las herramientas de facilitación. (Organismos
garantes)
▪ 7.3.3 Difundir los beneficios del uso de acciones preventivas y
herramientas de facilitación. (Integrantes del SNT)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 7.4 Incentivar el uso de efectivos controles archivísticos como acción preventiva
▪ Refiérase a las líneas de acción establecidas en el PROTAI en su Eje temático 1:
Archivo y gestión documental para fortalecer la protección de datos personales.
▪ [Párrafo eliminado conforme Actualización 2020]
Responsables de las líneas de acción
Líneas Estratégicas
Líneas de acción
Organismos garantes
7.1, 7.2, 7.3, 7.4
7.1.A1-A7, 7.3.2 [Párrafo eliminado conforme Actualización 2020]
Integrantes SNT 7.2, 7.3, 7.4 7.2.B1-B20, 7.3.1, 7.3.3
INAI 7.4 Refiérase a las líneas de acción establecidas en el PROTAI
AGN 7.4 Refiérase a las líneas de acción establecidas en el PROTAI
8. Perspectiva normativa con enfoque de política pública
Problemática: La LGPDPPSO y las leyes estatales en la materia, por su propia naturaleza, no
establecen específicamente los procesos y mecanismos que le permitan ser operable.
Estrategia: Para lograr una aplicación y cumplimiento adecuados de la LGPDPPSO o las leyes
estatales en la materia y brindar certeza a los responsables, se requiere la generación de
normatividad secundaria útil y suficiente.
Objetivo 1: Elaborar y expedir normatividad útil y suficiente
59
Línea estratégica Narrativa
8.1.1 Desarrollo de la normatividad secundaria a nivel federal y local [Párrafo eliminado conforme Actualización 2020]
Existen algunas obligaciones de protección de datos personales que se relacionan con la aplicación de normatividad secundaria. La emisión de una normatividad secundaria clara, completa y comprensiva permitirá a los responsables un cumplimiento de las disposiciones de la LGPDPPSO o las leyes estatales en la materia más fácil y ágil. Dicha normatividad podría establecer mecanismos que permitan el seguimiento eficiente de sus disposiciones. [Párrafo eliminado conforme Actualización 2020]
8.1.2 Sensibilización, promoción, difusión y socialización de la normatividad secundaria con los responsables de su aplicación TRANSVERSAL A [Párrafo modificado conforme Actualización 2020]
Las materias sobre las cuales se aprobarán y emitirán las disposiciones secundarias deben ser comprendidas entre las temáticas sobre las que se desarrollarán las líneas de acción de la línea estratégica transversal A. Es importante que el enfoque sea la difusión de la normatividad secundaria y la sensibilización sobre su importancia. [Párrafo eliminado conforme Actualización 2020]
8.1.3 Generación de interés en la protección de datos personales y visibilización de sus alcances y resultados TRANSVERSAL A [Párrafo modificado conforme Actualización 2020]
Para que los Organismos Garantes den la relevancia adecuada al desarrollo de estas normatividades es importante que las líneas de acción que se emprendan en la línea estratégica transversal A, incluyan como uno de sus objetivos la generación de un interés generalizado en la protección de datos personales. Para alcanzar el planteamiento de esta estrategia se deben incluir los resultados y alcances más destacados de la protección de datos personales en el sector público, como una de las materias sobre las que se desarrollarán las líneas de la línea estratégica transversal A. [Párrafo eliminado conforme Actualización 2020]
8.1.4 Acompañamiento por parte del INAI a los organismos garantes locales y al SNT [Párrafo eliminado conforme Actualización 2020]
El INAI, como cabeza del SNT y dada su experiencia y especialización en la protección de los datos personales puede dar un acompañamiento a los demás organismos garantes en su proceso de elaboración, aprobación y emisión de normatividad secundaria. [Párrafo eliminado conforme Actualización 2020]
Líneas de acción
Línea estratégica 8.1.1 Desarrollo de la normatividad secundaria a nivel federal y local
▪ 8.1.1.1 Identificar la normatividad necesaria a desarrollar, participando
propositivamente en aquella que corresponda de manera exclusiva a
los responsables o al SNT. (Organismos garantes)
60
▪ 8.1.1.2 Desarrollo de la normativa que, conforme a sus facultades y
atribuciones, corresponda. (Organismos garantes)
▪ 8.1.1.3 Identificar y analizar la normatividad existente al interior de los
responsables, con énfasis en aquella relacionada a tramites y
procedimientos de acceso y modificación en registros personales
(Organismos garantes)
▪ 8.1.1.4 Promover la armonización de la normatividad identificada al
interior de los responsables con las nuevas disposiciones, principios,
deberes y obligaciones que la LGPDPPSO impone a los responsables,
con énfasis en aquella relacionada a tramites y procedimientos de
acceso y modificación en registros personales (Organismos garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 8.1.2 Sensibilización, promoción, difusión y socialización de la normatividad
secundaria con los responsables de su aplicación
▪ 8.1.2.A1-A7 Incluir la normatividad secundaria como una temática para las
líneas de acción de la línea estratégica transversal A. (Organismos Garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 8.1.3 Generación de interés en la protección de datos personales y visibilización
de sus alcances y resultados
▪ 8.1.3.A1-A7 Incluir los resultados y alcances más relevantes de la normatividad
secundaria como una temática para las líneas de acción de la línea estratégica
transversal A. (Organismos Garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 8.1.4 Acompañamiento por parte del INAI a los organismos garantes locales y al
SNT
61
▪ 8.1.4.1 Establecer mesas de atención como canales de comunicación,
colaboración y coordinación que permitan manifestar las obligaciones que los
organismos garantes tienen para normar la protección de datos personales y
para compartir reflexiones y experiencias en el desarrollo de estos
instrumentos normativos. (Organismos garantes)
▪ 8.1.4.2 Establecer foros de consulta que permitan identificar necesidades
normativas (técnicas, metodológicas o de recursos) a las que se enfrentan los
Organismos Garantes de las entidades federativas para gestionar las acciones
que permitan atenderlas. (Organismos garantes)
▪ 8.1.4.3 Establecer mecanismos de coordinación que permitan identificar
problemáticas particulares de los Organismos garantes en torno a la emisión de
normatividad secundaria, para impulsar la cooperación en el seno del Sistema
Nacional. (INAI)
▪ [Párrafo eliminado conforme Actualización 2020]
Responsables de las líneas de acción
Líneas Estratégicas
Líneas de acción
Organismos garantes
8.1.1, 8.1.2, 8.1.3, 8.1.4
8.1.1.1, 8.1.1.2, 8.1.1.3, 8.1.1.4, 8.1.2.A1-A7, 8.1.3.A1-A7, 8.1.4.1, 8.1.4.2 [Párrafo eliminado conforme Actualización 2020]
INAI 8.1.4 8.1.4.3
Problemática: Los organismos garantes tienen nuevas atribuciones para las cuáles aún no cuentan
con los recursos y capacidades necesarias para su atención.
Estrategia: Para disminuir las presiones institucionales (cargas administrativas, esfuerzos adicionales
y costos) que se derivan de las nuevas atribuciones, estas deben ser ejercidas de forma adecuada.
Objetivo 2: Establecer las bases y mecanismos para que los organismos garantes ejerzan
adecuadamente sus nuevas atribuciones derivadas de la LGPDPPSO o de las leyes estatales en la
materia
Línea estratégica Narrativa
8.2.1 Fortalecimiento de los Organismos Garantes para el desarrollo de los mecanismos de tutela del derecho y establecimiento de estándares homogéneos TRANSVERSAL B [Párrafo modificado conforme Actualización 2020]
Para alcanzar un cumplimiento efectivo y eficaz de las nuevas atribuciones de los organismos garantes, se propone aplicar las líneas de acción de línea estratégica transversal B en dos aspectos específicos, el desarrollo de los mecanismos de tutela del derecho y el establecimiento de estándares homogéneos. Estas sub estrategias conllevan en sí mismas el hecho de que los organismos garantes ejerzan las potestades que la Ley les otorga. [Párrafo eliminado conforme Actualización 2020]
62
Línea estratégica Narrativa
8.2.2. Dotar al ámbito público y privado de reglas homólogas en materia de protección de datos personales [Párrafo eliminado conforme Actualización 2020]
Con la finalidad de dotar de certeza a las y los titulares sobre las medidas de seguridad, el ejercicio de sus derechos y la garantía de que estos gozan, así como para aprovechar el desarrollo generado en la protección de datos personales en el sector privado, se ha planteado la necesidad de dotar tanto al sector público como al privado de reglas homólogas. [Párrafo eliminado conforme Actualización 2020]
8.2.3 Reconocimiento de la protección a los datos personales como un derecho autónomo e independiente del derecho de acceso a la información y transparencia [Párrafo eliminado conforme Actualización 2020]
Una sub estrategia que ya había sido expuesta con anterioridad, se centra en la relevancia de dar notoriedad a la protección de los datos personales. El derecho a la protección de datos en México se ha desarrollado como una contraparte al derecho de acceso a la información, pero debe ser reconocido como un derecho independiente, con todas las implicaciones que de ello se derivan. [Párrafo eliminado conforme Actualización 2020]
Líneas de acción
Línea estratégica 8.2.1 Fortalecimiento de los Organismos Garantes para el desarrollo de los
mecanismos de tutela del derecho y establecimiento de estándares homogéneos.
▪ 8.2.1.B1-B20 Incluir los mecanismos de tutela del derecho y el establecimiento
de estándares homogéneos en línea estratégica transversal B. (Organismos
garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 8.2.2. Dotar al ámbito público y privado de reglas homólogas en materia de
protección de datos personales
▪ 8.2.2.1 Identificar y difundir la regulación existente en el ámbito privado
mediante un inventario de normas y disposiciones aplicables. (Organismos
garantes)
▪ 8.2.2.2 Con base en dicho inventario distinguir aquellas que pueden y deben ser
transferidas al ámbito público. (Organismos garantes)
▪ 8.2.2.3 Desarrollar los ajustes pertinentes para cada ámbito. (Organismos garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 8.2.3 Reconocimiento de la protección a los datos personales como un derecho
autónomo e independiente del derecho de acceso a la información y transparencia
63
▪ 8.2.3.1 Distinguir totalmente el tema de derecho a la protección de los datos
personales respecto a los temas de acceso a la información y transparencia.
(Integrantes del SNT)
▪ [Párrafo eliminado conforme Actualización 2020]
Responsables de las líneas de acción
Líneas Estratégicas Líneas de acción
Organismos garantes
8.2.1, 8.2.2, 8.2.3 8.2.1.B1-B20, 8.2.2.1, 8.2.2.2, 8.2.2.3 [Párrafo modificado conforme Actualización 2020]
Integrantes del SNT 8.2.3 8.2.3.1
Problemática: Derivado de la reciente promulgación de la LGPDPPSO no se han desarrollado
acciones específicas en las instancias del SNT para promover su aplicación en todo su potencial.
Estrategia: Para generar un cumplimiento y respeto a las responsabilidades de cada uno de los
organismos garantes del país derivadas de la citada norma, así como brindar certeza a las y los
titulares sobre la resolución de sus recursos de revisión, los organismos garantes de las entidades
federativas y el INAI deben desarrollar las acciones que permitan hacer del SNT una instancia de
coordinación efectiva en la materia.
Objetivo 3: Construir mecanismos de colaboración efectivos y solidarios para los organismos
garantes de las entidades federativas y el INAI como homólogos en la garantía de la protección de
datos personales
Línea estratégica Narrativa
8.3.1 Fortalecimiento de los Organismos Garantes para compartir conocimientos, experiencias y capacidades técnicas. TRANSVERSAL B [Párrafo modificado conforme Actualización 2020]
Esta es una de las temáticas sobre las cuáles deben implementarse las líneas de acción establecidas por la línea estratégica transversal B. [Párrafo modificado conforme Actualización 2020]
8.3.2 Fortalecimiento de los Organismos Garantes para hacer del SNT un foro propicio para compartir experiencias que mejoren los procedimientos administrativos en la resolución de recursos de revisión de protección de datos personales TRANSVERSAL B [Párrafo modificado conforme Actualización 2020]
Al aplicar las líneas de acción de la línea estratégica transversal B en el nivel del Sistema Nacional, el compartir experiencias entre organismos garantes y con los responsables es una temática indispensable. [Párrafo eliminado conforme Actualización 2020]
64
Línea estratégica Narrativa
8.3.3 Acompañamiento del INAI a los organismos garantes locales y al SNT [Párrafo eliminado conforme Actualización 2020]
El INAI, como cabeza del SNT y por su experiencia en la protección de los datos personales puede y debe dar un acompañamiento a los demás organismos garantes con respeto a la autonomía local [Párrafo eliminado conforme Actualización 2020]
8.3.4 Fortalecimiento de los Organismos Garantes para la toma de decisiones conforme a las disposiciones legales aplicables TRANSVERSAL B [Párrafo modificado conforme Actualización 2020]
Al implementar las acciones de la línea estratégica transversal B, al nivel institucional, los Organismos Garantes deberán atender a la temática de su toma de decisiones para poder apegar y ejercer las facultades que las normas le conceden. [Párrafo eliminado conforme Actualización 2020]
8.3.5 Criterios homologados [Párrafo eliminado conforme Actualización 2020]
Realizar acciones que permitan a todos los Organismos Garantes del país utilizar criterios equiparables en la resolución de sus procedimientos promoverá que la garantía que se brinde a los ciudadanos sea homogénea. Esto hará que los procesos de revisión que se tengan que emprender, cuenten con un marco de certeza. [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 8.3.1 Fortalecimiento de los Organismos Garantes para compartir conocimientos,
experiencias y capacidades técnicas.
▪ 8.3.1.B1-B20 Incluir la generación de las condiciones en la línea estratégica
transversal B. (Organismos garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 8.3.2 Fortalecimiento de los Organismos Garantes para hacer del SNT un foro
propicio para compartir experiencias que mejoren los procedimientos administrativos en la
resolución de recursos de revisión de protección de datos personales
▪ 8.3.2.B1-B20 Incluir la generación de las condiciones que hagan del SNT un foro
propicio que mejore la resolución de recursos de revisión en la línea estratégica
transversal B. (Organismos garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 8.3.3 Acompañamiento del INAI a los organismos garantes locales y al SNT
65
▪ 8.3.3.1 Establecer canales de comunicación constante que permitan tanto
manifestar las obligaciones que los organismos garantes tienen para resolver
sobre ciertos aspectos de la protección de datos personales, como para
escuchar las cuestiones que en el desarrollo de estos procesos pudiesen surgir.
(INAI)
▪ 8.3.3.2 Detección de necesidades generalizadas para gestionar las acciones que
permitan remediar las necesidades (técnicas, metodológicas o de recursos) a
las que se enfrentan los Organismos Garantes de las entidades federativas.
(INAI)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 8.3.4 Fortalecimiento de los Organismos Garantes para la toma de decisiones
conforme a las disposiciones legales aplicables
▪ 8.3.4.B1-B20 Incluir la generación de las condiciones que permitan una
adecuada toma de decisiones en la línea estratégica transversal B. (Organismos
garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Línea estratégica 8.3.5 Criterios homologados
▪ 8.3.5.1 Establecer criterios para la interpretación del derecho a la
protección de datos personales y el tratamiento de los recursos de
revisión a lo largo del país. (Organismos garantes)
▪ 8.3.5.2 Impulsar el desarrollo, uso y difusión de una plataforma de
criterios y precedentes sobre el derecho de protección de datos
personales en el país. (Organismos garantes)
▪ [Párrafo eliminado conforme Actualización 2020]
Responsables de las líneas de acción
Líneas Estratégicas
Líneas de acción
Organismos garantes
8.3.1, 8.3.2, 8.3.3, 8.3.4, 8.3.5
8.3.1.B1-B20, 8.3.2B1-B20, 8.3.4.B1-B20, 8.3.5.1, 8.3.5.2 [Párrafo eliminado conforme Actualización 2020]
INAI 8.3.3 8.3.3.1, 8.3.3.2
66
V. Implementación y actualización del
PRONADATOS
Un aspecto indispensable para la comprensión del PRONADATOS tiene que ver con los instrumentos
que facilitarán su ejecución y actualización. En este sentido, el planteamiento del PRONADATOS
tiene tres procesos fundamentales a toda política pública: la implementación, el seguimiento y la
evaluación de las acciones.
Este Programa será ejecutado por los integrantes del SNT, es decir, los Organismos Garantes de las
Entidades Federativas, el INAI y los integrantes federales del Sistema: ASF, INEGI e AGN; éstos
últimos, en el marco de sus atribuciones. Los responsables del tratamiento de los datos personales,
en el marco de los lineamientos de PRONADATOS, también son encargados de la ejecución de este
Programa, sin embargo, en el planteamiento de las líneas de acción tan sólo se les involucra en
coadyuvar con las acciones que los integrantes del SNT emprendan.
La propuesta de contenidos y acciones de cada temática no están planteadas para ser
implementadas simultáneamente por los integrantes del SNT. En este sentido, los numerales
Trigésimo Sexto y Séptimo de los Lineamientos para la elaboración, ejecución y evaluación del
PRONADATOS disponen que los integrantes del Sistema se apoyarán de rutas de implementación
anual para su ejecución.
Estas rutas serán el mecanismo técnico que describirá las actividades que los integrantes del Sistema
realizarán en el marco del PRONADATOS, a partir de sus Programas Anuales o sus procesos de
planeación institucional. En este sentido, de ninguna forma, las rutas podrán vulnerar la autonomía
de los integrantes del Sistema respecto a sus procesos de planeación institucional.
Para auxiliar a los integrantes del SNT en el desarrollo y la coordinación de estas rutas de
implementación, se establecerá un Grupo de Implementación del PRONADATOS. Éste grupo estará
conformado por la Coordinación de los Organismos Garantes de las Entidades Federativas, el
Secretariado Ejecutivo del Sistema Nacional de Transparencia, la Secretaría de Protección de Datos
Personales, o sus respectivos representantes, y será encabezado por la Coordinación de la Comisión
de Protección de Datos Personales del SNT. Este grupo de trabajo tendrá la facultad de emitir
recomendaciones, responder consultas, emitir guías y coordinar actividades encaminadas a facilitar
67
la implementación de este PRONADATOS. En el marco de este primer PRONADATOS el grupo de
implementación desarrollará las fichas técnicas12 de los indicadores propuestos, así como las metas
que se establezcan en éstos. Los indicadores podrán sufrir modificaciones por parte de este grupo,
incluso en el nombre propuesto, siempre que la viabilidad técnica de los mismos lo requiera. Para
los ajustes que se requieran a los indicadores se contará con la opinión de la Comisión de
Indicadores, Evaluación e Investigación del SNT y de expertos en la materia.13
Para el seguimiento de las acciones que se emprendan, los Lineamientos de PRONADATOS prevén
la existencia de una pizarra de avances, similar a la que se desarrollará para el PROTAI. Esta
herramienta tecnológica será administrada por el Secretariado Ejecutivo del SNT y será alimentada
con la información provista por los integrantes del SNT y que sirva de evidencia de la realización de
las líneas de acción establecidas en sus correspondientes rutas de implementación. El seguimiento
de estas acciones permitirá establecer prioridades y mejorar el equilibrio de los esfuerzos realizados
por los integrantes. Al mismo tiempo, la información que se refleje en la pizarra de avances servirá
de insumo para la evaluación de los resultados de este PRONADATOS.
Para poder contar con un seguimiento más completo, que incluya las acciones que son desarrolladas
desde la Comisión de Protección de Datos Personales del SNT como avances en el marco de los
Programas Nacionales, el Secretariado Ejecutivo en uso de sus atribuciones incluya al concentrado
de actividades institucionales, aquellas actividades que fueron desarrolladas y/o impulsadas desde
la Comisión de Protección de Datos Personales o el Consejo Nacional del SNT y de las cuáles tenga
acceso a las evidencias de su desarrollo por integrantes del mismo Sistema.
[Párrafo añadido conforme Actualización 2020]
El desarrollo de este proceso se realizaría tomando en cuenta las siguientes consideraciones:
12 Estas fichas técnicas incluirán: la descripción general del indicador, el método de cálculo, la periodicidad, los medios de verificación, los actores vinculados con el indicador, la línea base (en caso de existir), y las metas para los años que abarca la periodicidad de este PRONADATOS. 13 El 18 de mayo del año en curso, se reunió el Grupo de Implementación del PRONADATOS, y derivado de la presentación y discusión de las fichas de indicadores, se aprobaron conforme al Anexo 2 del acuerdo GPO-IMPLEMENTACIÓN/PRONADATOS/18/05/18-01. Para mayor referencia, véase el Anexo 1 del presente documento.
68
- Se agregarán al concentrado de actividades, exclusivamente aquellas sobre las cuáles cuente con
evidencia del desarrollo de las mismas.
- Para efectos de la Ruta de Implementación, las actividades serán asociadas a todas las Líneas de
Acción del Programa Nacional en las que causen impacto.
- El seguimiento a estas actividades se hará del conocimiento del Consejo Nacional a través de los
informes respecto a la implementación de los lineamientos de los Programas Nacionales.
[Párrafo añadido conforme Actualización 2020]
La LGPDPPSO establece que el PRONADATOS será actualizado y evaluado de manera anual, por lo
que, a partir del primer ejercicio de este Programa, se podrán identificar un conjunto de acciones
prioritarias a impulsar en el siguiente ciclo anual. Estas sucesivas actualizaciones y evaluaciones
permitirán delinear y establecer los indicadores de impacto que, a largo plazo, constituirán la base
de las mediciones del éxito de este Programa y los beneficios generados a la población.
Así mismo, en referencia a los lineamientos cuadragésimo quinto y cuadragésimo sexto de los
lineamientos de PRONADATOS, se desarrollarán trabajos para la actualización del diagnóstico en el
marco de la actualización anual del PRONADATOS. Incluyendo fuentes específicas de las entidades
federativas (informes, estudios, reportes, etc.) y la participación de la Comisión de Protección de
Datos Personales como un grupo de análisis.
V.1. Temáticas relevantes en la implementación del PRONADATOS
Protección y seguridad de datos personales: La protección de datos personales en las instancias
públicas debe abordarse con la relevancia correspondiente a un derecho humano. En este sentido,
los responsables del tratamiento de los datos personales tienen una tarea fundamental en
garantizar las medidas de seguridad que permitan generar confianza en las y los titulares. No contar
con este tipo de medidas expone a las instituciones a vulneraciones en sus propias bases de datos y
expedientes con consecuencias tanto para la institución como para las y los titulares. Instituciones
que no cuenten con sistemas de seguridad confiables se exponen a realizar acciones ineficaces o
ineficientes; así mismo, las y los titulares que pueden resultar afectados por estas vulneraciones se
exponen a una serie de riesgos en su persona, patrimonio e intereses. Por esto, se estima
conveniente realizar un consiente esfuerzo para generar mejoras en estos sistemas del Estado
mexicano, acarreando los primeros beneficios tangibles de la implementación de este
PRONADATOS.
69
Sectorización: En las líneas de acción que referencian la priorización en la realización de acciones
con ciertos sectores de responsables del ámbito público, sugerimos considerar los siguientes
criterios:
- Volumen de datos personales en posesión de los responsables
- Tratamiento de datos personales sensibles por parte de los responsables
- Relevancia económica o social
Por ejemplo: salud; desarrollo social; agropecuario; fiscal; seguridad pública; educación;
procuración de justicia; electoral; registros públicos (civil, propiedad y comercial); etc.
VI. Perspectivas del PRONADATOS
El PRONADATOS es un mecanismo de coordinación para el desarrollo de las políticas públicas
que permitan la garantía de un derecho, que debe entenderse a partir de una visión progresiva
de la garantía. Las condiciones identificadas al interior del SNT indican que no es factible
desarrollar todas las acciones contempladas desde un inicio, sin embargo, se pueden iniciar los
esfuerzos, institucionalizarlos, mejorarlos y volverlos parte de una garantía a un derecho que
en el largo plazo pueda garantizarse a la totalidad de la población del país.
Dónde estamos 2018- 2020 (etapa 1
PRONADATOS)
Dónde estaremos 2020-2022 (etapa 2
PRONADATOS)
Hacia dónde vamos 2022- 2026 (SEGUNDO
PRONADATOS)
Qué aspiramos 2037 (20 años de la
LGPDPPSO)
Se establecen las condiciones institucionales que permitan que los integrantes del SNT cumplan sus obligaciones establecidas en la LGPDPPSO y las legislaciones locales. Se comienzan esfuerzos generalizados para incrementar el conocimiento del derecho y su ejercicio entre la población.
Los integrantes del SNT cumplen a cabalidad las obligaciones que les ha establecido la LGPDPPSO. Hay un incremento en el porcentaje de personas que identifica la legislación en materia de protección de datos personales, así como en el conocimiento de las instituciones encargadas de la garantía de este derecho.
Los organismos garantes se consolidan como instituciones capaces de garantizar la protección de los datos personales de las y los titulares. Y los integrantes federales del SNT (AGN, ASF e INEGI) son parámetros de buenas prácticas en la materia. La población incrementa el ejercicio de su derecho a la protección de datos personales para proteger su privacidad y la de sus familiares.
El SNT se consolida como un mecanismo comprobado y reconocido para la generación de una garantía efectiva y homogénea del derecho a la protección de los datos personales para toda la población del país. La mayoría de la población identifica los mecanismos que le permiten ejercer su derecho a la protección de datos personales.
70
Dónde estamos 2018- 2020 (etapa 1
PRONADATOS)
Dónde estaremos 2020-2022 (etapa 2
PRONADATOS)
Hacia dónde vamos 2022- 2026 (SEGUNDO
PRONADATOS)
Qué aspiramos 2037 (20 años de la
LGPDPPSO)
Se impulsa el cumplimiento de los responsables del ámbito público en los distintos niveles de gobierno en materia de sus obligaciones en materia de protección de datos personales. Se generan líneas bases para la medición de los aspectos más relevantes de la protección de datos personales en el sector público.
Se evalúa a todos los responsables del ámbito público en el cumplimiento de sus obligaciones en materia de protección de datos personales. Se desarrolla una serie de instrumentos y mecanismos que permiten contar con la información necesaria para la evaluación del estado que guardan los principales aspectos de la protección de datos en el sector público del país
Las instituciones públicas que manejan una mayor cantidad de datos personales lo hacen cumpliendo con lo dispuesto en la LGPDPPSO. Se cuenta con análisis de las fuentes de información que permiten dar cuenta de los cambios generados por las acciones del PRONADATOS
La gestión de la seguridad de la información en todos los niveles del sector público está internalizada y es aplicada constante y eficientemente por los servidores públicos. La generación de información, su conversión en conocimiento y su integración en la toma de decisiones en materia de protección de datos personales es una rutina institucionalizada en el Estado mexicano.
VII. Indicadores generales y transversales del
Programa
Estos indicadores serán desarrollados en sus aspectos técnicos por el Grupo de Implementación
referido en la sección V de este documento, con posibilidad de modificarlos de acuerdo a las
consideraciones de viabilidad que el Grupo manifieste sobre los mismos. Así mismo, se solicitará la
opinión de la Comisión de Indicadores, Evaluación e Investigación del SNT y de expertos en la
materia.14
14 En seguimiento a lo indicado por la sección VII. Indicadores generales y transversales del PRONADATOS donde se lee: “Estos indicadores serán desarrollados en sus aspectos técnicos por el Grupo de Implementación referido en la sección V de este documento, con posibilidad de modificarlos de acuerdo a las consideraciones de viabilidad que el Grupo manifieste sobre los mismos” y en concordancia con lo establecido en el acuerdo CUARTO del Acuerdo del Consejo Nacional del SNT mediante el cual se aprueba el Programa Nacional de Protección de Datos Personales en el que se lee: “Se instruye al Secretario Ejecutivo, en los tres meses posteriores a la publicación del PRONADATOS en el Diario Oficial de la Federación, llevar a cabo las acciones necesarias para la conformación y seguimiento del Grupo de Implementación indicado en el Programa, así como para el establecimiento de los enlaces, las rutas de implementación y las fichas de indicadores del primer
71
Educación y cultura de protección de datos personales entre la sociedad mexicana
Objetivo Indicador Meta
Fomentar el conocimiento
generalizado de la protección
de los datos personales
Porcentaje de quejas por mal uso de datos
personales presentadas ante instituciones públicas
que reciben los Organismos Garantes
ENAID
Por definir
Fomentar el conocimiento
generalizado de la protección
de los datos personales
Presupuesto asignado a cada Órgano Garante, para
la implementación de Programas de Educación y
Cultura de Protección de Datos Personales.
Por definir
Ejercicio de los derechos ARCO y de portabilidad
Objetivo Indicador Meta
Establecer las bases para que exista un
ejercicio adecuado de los derechos ARCO
y la portabilidad de datos personales
Porcentaje de Organismos Garantes
que reportan que sus sujetos obligados
(responsables) reciben y atienden un
número mayor a cero de solicitudes de
protección de datos personales
CNTAID
2017: Línea base 55 %(año t) Metas por definir
Establecer las bases para que exista un
ejercicio adecuado de los derechos ARCO
y la portabilidad de datos personales
Proporción de efectividad del
presupuesto en la progresividad de los
derechos ARCO y la portabilidad
Por definir
Capacitación a los responsables en materia de protección de datos personales
Objetivo Indicador Meta
Promover que
existan las
Porcentaje de temas de capacitación básicos cubiertos por los
organismos garantes con sus sujetos obligados (responsables).
2016: 36% Línea Base
PRONADATOS”; se notifica que el pasado 18 de mayo del año en curso, se reunió el Grupo de Implementación, y derivado de la presentación y discusión de las fichas de indicadores, se aprobaron conforme al Anexo 2 del acuerdo GPO-IMPLEMENTACIÓN/PRONADATOS/18/05/18-01. Las fichas de los indicadores aprobadas, pueden ser consultadas en el Anexo 1 del presente documento.
72
Capacitación a los responsables en materia de protección de datos personales
Objetivo Indicador Meta
capacidades técnicas
adecuadas y
suficientes entre los
servidores públicos
para la protección de
los datos personales
Los temas básicos de capacitación en la materia son:
-Marco jurídico
-Medidas de seguridad para el tratamiento de datos
personales
-Ejercicio de derechos ARCO
-Aviso de privacidad
CNTAID
[Ficha modificada conforme Actualización 2019]
Metas por definir
Promover que
existan las
capacidades técnicas
adecuadas y
suficientes entre los
servidores públicos
para la protección de
los datos personales
Porcentaje del Presupuesto destinado a capacitación de
Sujetos Obligados por los Órganos Garantes, en materia de
protección de datos personales
Por definir
Implementación y mantenimiento de un sistema de gestión de seguridad
Objetivo Indicador Meta
Fomentar que los
responsables
establezcan un
sistema de gestión de
seguridad para
garantizar que
cuenten con medidas
de seguridad de la
información
Porcentaje de sujetos obligados (responsables) a nivel nacional
que cuentan con los siguientes elementos:
-Área encargada de implementar y vigilar la
implementación de la política de protección de datos
personales al interior del organismo
-Inventario de los datos personales que se encuentran en
su posesión
-Identificación de los procesos o procedimientos internos
en los que se lleva a cabo el tratamiento de datos
personales
Por definir
73
Implementación y mantenimiento de un sistema de gestión de seguridad
Objetivo Indicador Meta
-Procedimiento de verificación interno para revisar que
los datos personales se traten de manera adecuada
A desarrollarse
Fomentar que los
responsables
establezcan un
sistema de gestión de
seguridad para
garantizar que
cuenten con medidas
de seguridad de la
información
Porcentaje del presupuesto asignado a los sujetos obligados
(responsables) destinado a la implementación y
mantenimiento de un sistema de gestión de seguridad para la
protección de datos personales.
Por definir
Estándares nacionales, internacionales y buenas/mejores prácticas en la materia
Objetivo Indicador Meta
Crear y facilitar la identificación de los
incentivos que permiten a los
responsables adoptar mejores
prácticas en la protección de datos
personales
Porcentaje de organismos garantes que dan
acompañamiento a sus responsables (sujetos
obligados) para participar del sistema de
buenas prácticas y el sistema de certificación
en materia de protección de datos personales
A desarrollarse
Por definir
Crear y facilitar la identificación de los
incentivos que permiten a los
responsables adoptar mejores
prácticas en la protección de datos
personales
Porcentaje de los recursos económicos de
organismos garantes que aplican para la
generación de incentivos que permitan a los
responsables adoptar mejores prácticas en la
materia
Por definir
74
Monitoreo, seguimiento, y verificación de metas
Objetivo Indicador Meta
Conocer el desempeño de los
responsables en la aplicación
de la LGPDPPSO o las leyes
estatales en la materia
Porcentaje de organismos garantes que aplican
mecanismos para conocer el estado actual de los
responsables (sujetos obligados) en el cumplimiento
de sus obligaciones en la materia
A desarrollarse y/o ajustarse en el CNTAID
2017: Línea base aproximada: 51% Ante una pregunta similar contenida en el CNTAID Metas por definir.
Conocer el desempeño de los
responsables en la aplicación
de la LGPDPPSO o las leyes
estatales en la materia
Porcentaje de los recursos económicos de
organismos garantes que aplican mecanismos para
conocer el estado actual de los responsables
(sujetos obligados) en el cumplimiento de sus
obligaciones en la materia
Por definir
Acciones preventivas en materia de protección de datos personales
Objetivo Indicador Meta
Generar acciones y
herramientas de facilitación
para el ejercicio y tutela del
derecho a la protección de datos
personales en todo el país
Porcentaje de organismos garantes que aplican
mecanismos para conocer el estado actual de los
responsables (sujetos obligados) en el cumplimiento
de sus obligaciones en la materia
A desarrollarse y/o ajustarse en el CNTAID
Por definir
Generar acciones y
herramientas de facilitación
para el ejercicio y tutela del
derecho a la protección de datos
personales en todo el país
Porcentaje de recursos económicos destinados por
los organismos garantes para la implementación de
acciones y herramientas que faciliten a los
responsables la protección de los datos personales.
Por definir
75
Perspectiva normativa con enfoque de política pública
Objetivo Indicador Meta
Elaborar y expedir
normatividad secundaria útil
y suficiente
Porcentaje de materias de protección de datos
personales cubiertas por los integrantes del SNT en
toda su normatividad a expedir derivada de la
LGPDPPSO
A desarrollarse
Por definir
Establecer las bases y
mecanismos para que los
organismos garantes ejerzan
adecuadamente sus nuevas
atribuciones derivadas de la
LGPDPPSO o de las leyes
estatales en la materia
Porcentaje de organismos garantes que aplican
mecanismos para conocer el estado actual de los
responsables (sujetos obligados) en el cumplimiento
de sus obligaciones en la materia
A desarrollarse y/o ajustarse en el CNTAID
*Mismo indicador que el eje: Monitoreo, seguimiento, y verificación de metas; al contribuir ambos al mismo resultado
2017: Línea base aproximada: 51% Ante una pregunta similar contenida en el CNTAID Por definir
Construir un mecanismo de
revisión efectivo y solidario
para los organismos garantes
de las entidades federativas y
el INAI
Número de resoluciones de los Organismos
Garantes Locales con recurso de inconformidad para
su revisión por el INAI
A desarrollarse
Por definir
Elaborar y expedir
normatividad secundaria útil
y suficiente
Porcentaje del impacto en el marco normativo
secundario con la asignación presupuestal tanto a
nivel local como federal.
Por definir
76
Transversal A: Sensibilización, promoción, difusión y socialización
Línea Estratégica Transversal
Indicador Meta
Sensibilización, promoción,
difusión y socialización
Índice de actividades y acciones para la
sensibilización, promoción, difusión y socialización en
materia de protección de datos personales en las
entidades federativas
CNTAID
LÍNEA BASE 2017: 0.3732 Línea Base Metas por definir
Transversal B: Fortalecimiento institucional
Línea Estratégica Transversal Indicador Meta
Fortalecimiento institucional Índice de fortalezas institucionales en los
organismos garantes
CNTAID e Información remitida por los
organismos garantes al Secretariado
Ejecutivo del SNT
[Ficha modificada conforme Actualización 2019]
LÍNEA BASE 2017: 0.7168 Línea Base Metas por definir
VIII. Glosario
Bases de datos: Conjunto ordenado de datos personales referentes a una persona física identificada o
identificable, condicionados a criterios determinados, con independencia de la forma o modalidad de su
creación, tipo de soporte, procesamiento, almacenamiento y organización
Consejo Nacional: Consejo Nacional de Transparencia, Acceso a la Información y Protección de Datos
Personales a que se refiere el artículo 32 de la Ley General de Transparencia y Acceso a la Información Pública
Consentimiento: Manifestación de la voluntad libre, específica e informada del titular de los datos mediante
la cual se efectúa el tratamiento de los mismos
Datos personales: Cualquier información concerniente a una persona física identificada o identificable. Se
considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente
a través de cualquier información
Datos personales sensibles: Aquellos que se refieran a la esfera más íntima de su titular, o cuya utilización
indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa más
no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o
77
étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales,
opiniones políticas y preferencia sexual
Derechos ARCO: Los derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos
personales
Acceso: La o el titular tendrá derecho de acceder a sus datos personales que obren en posesión del
responsable, así como conocer la información relacionada con las condiciones y generalidades de su
tratamiento
Rectificación: La o el titular tendrá derecho a solicitar al responsable la rectificación o corrección de
sus datos personales, cuando estos resulten ser inexactos, incompletos o no se encuentren
actualizados
Cancelación: La o el titular tendrá derecho a solicitar la cancelación de sus datos personales de los
archivos, registros, expedientes y sistemas del responsable, a fin de que los mismos ya no estén en
su posesión y dejen de ser tratados por este último
Oposición: La o el titular podrá oponerse al tratamiento de sus datos personales o exigir que se cese
en el mismo
Eje: Temática sobre la cual versará el contenido general que sirve de línea vertebral o referencia con respecto
al cual se desarrollan asuntos referentes a la protección de datos personales dentro del Programa Nacional
de Protección de Datos Personales
Estrategia: El conjunto de acciones interrelacionadas para la atención de una problemática que asegura un
resultado
Indicador: La variable o factor que proporciona un medio sencillo y fiable para medir logros, cambios o ayudar
a evaluar resultados
Línea de acción: El catálogo de actividades encaminadas al resultado del objetivo estratégico respectivo
Línea estratégica: El conjunto de líneas de acción interrelacionadas que permiten organizar la atención que
brinda la estrategia a la problemática para la consecución del objetivo
Medidas de seguridad: Conjunto de acciones, actividades, controles o mecanismos administrativos, técnicos
y físicos que permitan proteger los datos personales
Meta: El valor que se espera alcance un indicador y sirva de evidencia del avance en la consecución de los
objetivos estratégicos en un periodo establecido
Objetivo: El fin general al que se ajustan las líneas de acción y que se asocia unívocamente con las estrategias.
Refleja de manera concisa la solución de las problemáticas identificadas en el eje temático o transversal.
Organismos garantes: Aquellos con autonomía constitucional especializados en materia de acceso a la
información y protección de datos personales, en términos de los artículos 6o. y 116, fracción VIII de la
Constitución Política de los Estados Unidos Mexicanos
Plataforma Nacional: La Plataforma Nacional de Transparencia a que hace referencia el artículo 49 de la Ley
General de Transparencia y Acceso a la Información Pública
Problemática: Asuntos que implican algún tipo de inconveniente o trastorno y que exigen una solución
78
Responsable: Los sujetos obligados a que se refiere el artículo 1 de la LGPDPPSO que deciden sobre el
tratamiento de datos personales
Titular: La persona física a quien corresponden los datos personales
Transferencia: Toda comunicación de datos personales dentro o fuera del territorio mexicano, realizada a
persona distinta del titular, del responsable o del encargado
Tratamiento: Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales
o automatizados aplicados a los datos personales, relacionadas con la obtención, uso, registro, organización,
conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo,
aprovechamiento, divulgación, transferencia o disposición de datos personales
Anexo 1. Fichas de Indicadores
Propuesta de ajustes a indicadores de PRONADATOS; Resultado del
análisis de fichas y reconocimiento inicial de desagregación
presupuestal en actividades de protección de datos personales Abril 2018
En seguimiento a lo indicado por la sección VII. Indicadores generales y transversales del
PRONADATOS donde se lee:
“Estos indicadores serán desarrollados en sus aspectos técnicos por el Grupo de
Implementación referido en la sección V de este documento, con posibilidad de modificarlos
de acuerdo a las consideraciones de viabilidad que el Grupo manifieste sobre los mismos”.
Del mismo modo, en concordancia con lo establecido en el acuerdo CUARTO del Acuerdo del
Consejo Nacional del SNT mediante el cual se aprueba el Programa Nacional de Protección de Datos
Personales en el que se lee:
“Se instruye al Secretario Ejecutivo, en los tres meses posteriores a la publicación del
PRONADATOS en el Diario Oficial de la Federación, llevar a cabo las acciones necesarias para
la conformación y seguimiento del Grupo de Implementación indicado en el Programa, así
como para el establecimiento de los enlaces, las rutas de implementación y las fichas de
indicadores del primer PRONADATOS”
En este sentido, después de analizar la pertinencia y factibilidad de desarrollar cada uno de los
indicadores se propone el siguiente esquema:
- Una ficha de indicador para cada uno de los objetivos del PRONADATOS
- Un indicador para cada una de las líneas estratégicas transversales
- Emprender un reconocimiento inicial para la recolección de datos presupuestales
desagregados según actividades en los ejes de PRONADATOS
79
i) Fichas de indicadores para los objetivos
Para el desarrollo de las fichas de indicadores de cada uno de los objetivos del PRONADATOS se ha
partido de la base de los nombres de los indicadores como fueron aprobados por el Consejo
Nacional del SNT. A partir de ellos se establecieron las 10 fichas de indicadores y se realizaron ajustes
para 2 de los indicadores, los cuáles se detallan a continuación:
- Para el objetivo único del eje “Acciones preventivas en materia de protección de datos
personales” se cambió el indicador “Porcentaje de organismos garantes que aplican
mecanismos para conocer el estado actual de los responsables (sujetos obligados) en el
cumplimiento de sus obligaciones en la materia” por “Porcentaje de organismos garantes
que elaboran guías o herramientas para orientar a los sujetos obligados en el cumplimiento
de sus obligaciones en materia de protección de datos personales y/o cuenta con
mecanismos para conocer las necesidades y el estado actual de los sujetos obligados en el
cumplimiento de sus obligaciones en materia de protección de datos personales”. Esto con
la finalidad de contar con una medición de resultados más cercanos de los esfuerzos que se
desarrollarán en las líneas de acción de este eje.
- Para el objetivo 2 “Establecer las bases y mecanismos para que los organismos garantes
ejerzan adecuadamente sus nuevas atribuciones derivadas de la LGPDPPSO o de las leyes
estatales en la materia” del eje “Perspectiva normativa con enfoque de política pública”,
también se ajustó el indicador “Porcentaje de organismos garantes que aplican mecanismos
para conocer el estado actual de los responsables (sujetos obligados) en el cumplimiento de
sus obligaciones en la materia” para referir a un indicador que mejor refleje los esfuerzos
que en las líneas de acción del mencionado objetivo se establecen. En este sentido se
propone el indicador “Porcentaje de quejas por mal uso de datos personales presentadas
ante instituciones públicas que reciben los organismos garantes”
Se actualizó la ficha el indicador “Porcentaje de temas de capacitación básicos cubiertos por los
organismos garantes con sus sujetos obligados (responsables)” en su método de cálculo, derivado
de los ajustes realizados por el INEGI a los cuestionarios del Censo Nacional de Transparencia,
Acceso a la Información Pública y Protección de Datos Personales. De igual forma, el indicador
“Porcentaje de organismos garantes que orientan y/o conocen las necesidades de sus sujetos
obligados en materia de protección de datos personales” se actualizó a “Porcentaje de organismos
garantes que orientan y promueven acciones en sus sujetos obligados en materia de protección de
datos personales” y se actualizó su ficha correspondiente, derivado de los ajustes del INEGI.
[Párrafo añadido conforme Actualización 2019]
Finalmente, en las fichas de los indicadores se incluye la especificación de cuál edición de las
métricas corresponde al año de la medición de dichos indicadores.
[Párrafo añadido conforme Actualización 2019]
A continuación, se presentan las diez fichas de indicadores para cada objetivo de PRONADATOS:
80
FICHA INDICADOR
Elemento Característica
INDICADOR Porcentaje de quejas15 por mal uso de datos personales presentadas ante
instituciones públicas que reciben los organismos garantes
EJE Educación y cultura de protección de datos personales entre la sociedad
mexicana
OBJETIVO Fomentar el conocimiento generalizado de la protección de los datos personales
DESCRIPCIÓN GENERAL
Medir la efectividad de las políticas de difusión del conocimiento del derecho de
protección de datos personales, las leyes que lo protegen y los institutos
garantes del mismo.
MÉTODO DE CÁLCULO
{𝑄
𝐼𝑁𝐴𝐼+ 𝑄
𝑂𝐺𝐸𝐹
𝑄𝑇𝑂𝑇𝐴𝐿𝐸𝑆
} 𝑋100
Donde:
QINAI, se refiere al total de población de 18 años estimada por la ENAID y más que
presentó una queja por el uso indebido de datos personales ante el INAI.
QOGEF, se refiere al total de población de 18 años estimada por la ENAID y más
que presentó una queja por el uso indebido de datos personales ante algún
organismo garante de las entidades federativas.
QTOTALES, se refiere al total de población de 18 años estimada por la ENAID y más
que presentó una queja por el uso indebido de datos personales ante alguna
institución pública.
15 Se entenderán quejas como se indica que es levantada la Encuesta Nacional de Acceso a la Información Pública y Protección de Datos Personales 2016 y que en la página 51 de su Marco Conceptual indica:
Variable Clases
Presentación de queja ante
alguna institución de
gobierno derivada de mal
uso de datos personales
Sí presentó queja ante alguna institución de gobierno derivada de mal uso
de datos personales / No presentó queja ante alguna institución de
gobierno derivada de mal uso de datos personales / No sabe o no responde
Institución ante la cual
presentó queja derivada
de mal uso de datos
personales
Procuraduría Federal del Consumidor (PROFECO) / Comisión Nacional para
la Protección y Defensa de los Usuarios de Servicios Financieros
(CONDUSEF) / Instituto Federal de Acceso a la Información (IFAI) / Instituto
Nacional de Transparencia, Acceso a la Información y Protección de Datos
Personales (INAI) / Fiscalía Especializada para la Atención de Delitos
Electorales (FEPADE) / Otra.
81
PERIODICIDAD Trienal.
MEDIOS DE
VERIFICACIÓN
INEGI. Encuesta Nacional de Acceso a la Información Pública y Protección de
Datos Personales (ENAID)
ACTORES VINCULADOS
CON EL INDICADOR Integrantes del SNT
LÍNEA BASE
2016: INAI 10%.
* INAI incluye las respuestas "IFAI" e "Instituto de acceso a la información o
transparencia".
META 2019 (ENAID 2019): INAI Ascendente, 0.1 a 3% de crecimiento (sobre año t+3)
META 2023
(ENAID 2023): INAI Ascendente, 0.1 a 3% de crecimiento (sobre año t + 6)
*Los organismos garantes Locales aspirarán a recibir un porcentaje significativo
que los haga incluirse entre las respuestas del levantamiento de la ENAID
inmediato posterior a 2022.
[Ficha modificada conforme Actualización 2020]
82
FICHA INDICADOR
Elemento Característica
INDICADOR
Porcentaje de organismos garantes que reportan que sus sujetos obligados
(responsables) reciben y atienden un número mayor a cero de solicitudes de protección
de datos personales
EJE Ejercicio de los derechos ARCO y de portabilidad
OBJETIVO Establecer las bases para que exista un ejercicio adecuado de los derechos ARCO y la
portabilidad de datos personales
DESCRIPCIÓN GENERAL Medir la cobertura nacional en las entidades federativas para la atención de solicitudes
de protección de datos personales por parte de los sujetos obligados (responsables).
MÉTODO DE CÁLCULO
{𝑁
33} 𝑋100
Donde:
N: se refiere al número de organismos garantes que reportan que sus sujetos obligados
(responsables) reciben y atienden un número mayor a cero de solicitudes de protección
de datos personales
PERIODICIDAD Anual
MEDIOS DE VERIFICACIÓN INEGI. Censo Nacional de Transparencia, Acceso a la Información y Protección de Datos
(CNTAID)
ACTORES VINCULADOS
CON EL INDICADOR Integrantes del SNT
LÍNEA BASE 2017: 55%
META 2018 (CNTAID 2019) 63%
META 2019 (CNTAID 2020) 75%
META 2020 (CNTAID 2021) 87%
META 2021 (CNTAID 2022) 100%
[Ficha modificada conforme Actualización 2020]
83
FICHA INDICADOR
Elemento Característica
INDICADOR Porcentaje de temas de capacitación básicos cubiertos por los organismos garantes con sus sujetos
obligados (responsables)
EJE Capacitación a los responsables en materia de protección de datos personales
OBJETIVO Promover que existan las capacidades técnicas adecuadas y suficientes entre los servidores públicos
para la protección de los datos personales
DESCRIPCIÓN GENERAL Medir la cobertura temática de las capacitaciones en materia de protección de datos personales
realizadas por los organismos garantes con sus responsables.
MÉTODO DE CÁLCULO
{∑ 𝑛𝐶𝑎𝑝𝑖𝑖
132} 𝑋100
Donde:
nCapi, se refiere al número de integrantes del SNT que ha reportado en el CNTAID la
realización de capacitaciones a responsables en el tema i.
i: incluye los cuatro temas básicos de capacitación en protección de datos personales:
-Marco jurídico
-Medidas de seguridad para el tratamiento de datos personales
-Ejercicio de derechos ARCO
-Aviso de privacidad
PERIODICIDAD Anual
MEDIOS DE VERIFICACIÓN INEGI. Censo Nacional de Transparencia, Acceso a la Información y Protección de Datos (CNTAID)
ACTORES VINCULADOS CON EL
INDICADOR Organismos garantes
LÍNEA BASE
2016:
36% Línea Base
META 2018
(CNTAID 2019) 46%
*A partir de este año, el valor del indicador fue calculado de acuerdo con la modificación aprobada.
Valor 2018 con nuevo método de cálculo 66.66%
META 2019 (CNTAID 2020) 56%
META 2020 (CNTAID 2021) 66%
META 2021 (CNTAID 2022) 76%
[Ficha modificada conforme Actualización 2019 y 2020]
84
FICHA INDICADOR
Elemento Característica
INDICADOR
Porcentaje de sujetos obligados (responsables) a nivel nacional que cuentan con los
siguientes elementos:
-Área encargada de implementar y vigilar la implementación de la política de protección
de datos personales al interior del organismo
-Inventario de los datos personales que se encuentran en su posesión
-Identificación de los procesos o procedimientos internos en los que se lleva a cabo el
tratamiento de datos personales
-Procedimiento de verificación interno para revisar que los datos personales se traten de
manera adecuada
EJE Implementación y mantenimiento de un sistema de gestión de seguridad
OBJETIVO Fomentar que los responsables establezcan un sistema de gestión de seguridad para
garantizar que cuenten con medidas de seguridad de la información
DESCRIPCIÓN GENERAL Medir la cobertura en la existencia de elementos que permitan conformar un sistema de
gestión de seguridad en los responsables de todo el país
MÉTODO DE CÁLCULO
{∑ 𝑅𝑒𝑙𝑒𝑖𝑖
∑ 𝑅𝑡𝑜𝑡𝑖𝑖
} 𝑋100
Donde:
Relei, se refiere al número de responsables del organismo garante i que cuenta con los
elementos:
-Área encargada de implementar y vigilar la implementación de la política de protección
de datos personales al interior del organismo
-Inventario de los datos personales que se encuentran en su posesión
-Identificación de los procesos o procedimientos internos en los que se lleva a cabo el
tratamiento de datos personales
-Procedimiento de verificación interno para revisar que los datos personales se traten de
manera adecuada
Rtoti, se refiere al número total de responsables del organismo garante i
i: incluye los organismos garantes de las entidades federativas y al INAI
PERIODICIDAD Anual
MEDIOS DE VERIFICACIÓN Información remitida por los organismos garantes al Secretariado Ejecutivo del SNT
85
ACTORES VINCULADOS
CON EL INDICADOR Integrantes del SNT
LÍNEA BASE
No disponible. *Al ser un indicador de nueva creación la línea base estará disponible a
partir de la primera medición que se realice. Conforme al seguimiento realizado por el
Secretariado Ejecutivo del SNT
META 2018 -
META 2019 Establecimiento de los mecanismos que permitan realizar la medición
META 2020 Definición de Línea Base del Indicador (año t)
META 2021 Ascendente, 0.1 a 5% de crecimiento (sobre año t)
META 2022 Ascendente, 0.1 a 5% de crecimiento (sobre año t+1)
86
FICHA INDICADOR
Elemento Característica
INDICADOR
Porcentaje de organismos garantes que dan acompañamiento a sus responsables (sujetos
obligados) para participar del sistema de buenas prácticas y el sistema de certificación en materia
de protección de datos personales
EJE Estándares nacionales, internacionales y buenas/mejores prácticas en la materia
OBJETIVO Crear y facilitar la identificación de los incentivos que permiten a los responsables adoptar
mejores prácticas en la protección de datos personales
DESCRIPCIÓN
GENERAL
Medir los esfuerzos de los organismos garantes en el impulso a la adopción y reconocimiento de
las buenas prácticas implementadas por sus responsables (sujetos obligados) en el marco de los
sistemas que para tal fin se establezcan
MÉTODO DE CÁLCULO
{𝑁𝐵𝑃
33} 𝑋100
Donde:
NBP, se refiere al número de organismos garantes que dan acompañamiento a sus responsables
(sujetos obligados) para participar del sistema de buenas prácticas y el sistema de certificación en
materia de protección de datos personales.
PERIODICIDAD Anual.
MEDIOS DE
VERIFICACIÓN Información derivada del sistema de buenas prácticas y el sistema de certificación
ACTORES
VINCULADOS CON EL
INDICADOR
Integrantes del SNT
LÍNEA BASE
No disponible.
*Al ser un indicador de nueva creación la línea base estará disponible a partir de la primera
medición que se realice. Conforme al seguimiento realizado por el Secretariado Ejecutivo del SNT
META 2020 Contar con los parámetros que para la validación o reconocimiento de esquemas de mejores
prácticas a los que hace referencia el artículo 73 de la LGPDPPSO
META 2021 Establecimiento de línea base (año t)
META 2022 Ascendente, 10 a 15% de crecimiento (sobre año t)
87
FICHA INDICADOR
Elemento Característica
INDICADOR Porcentaje de organismos garantes que aplican mecanismos para conocer el estado actual de los
responsables (sujetos obligados) en el cumplimiento de sus obligaciones en la materia
EJE Monitoreo, seguimiento, y verificación de metas
OBJETIVO Conocer el desempeño de los responsables en la aplicación de la LGPDPPSO o las leyes estatales
en la materia
DESCRIPCIÓN
GENERAL
Medir la cobertura de organismos garantes a nivel nacional en la aplicación de los nuevos
mecanismos homogéneos que les permitan conocer el nivel de cumplimiento de las obligaciones
en materia protección de datos personales por parte de sus responsables (sujetos obligados)
como lo establece la LGPDPPSO
MÉTODO DE
CÁLCULO
{𝑁𝑀𝑆
33} 𝑋100
Donde:
NMS, se refiere al número de organismos garantes que aplican mecanismos para conocer el
estado actual de los responsables (sujetos obligados) en el cumplimiento de sus obligaciones en
la materia
PERIODICIDAD Anual
MEDIOS DE
VERIFICACIÓN Información remitida por los organismos garantes al Secretariado Ejecutivo del SNT
ACTORES
VINCULADOS CON EL
INDICADOR
Integrantes del SNT
LÍNEA BASE
Línea base aproximada: 51%
Ante una pregunta similar contenida en el CNTAID
META 2019 Establecimiento de los mecanismos homogéneos para evaluar el cumplimiento
META 2020 Establecimiento de los instrumentos y procesos que permitan realizar la medición
Definición de Línea Base del Indicador (51% aprox) (año t)
META 2021 Ascendente, 25% de crecimiento (sobre año t)
META 2022 Ascendente, 25% de crecimiento (sobre año t + 1)
88
FICHA INDICADOR
Elemento Característica
INDICADOR Porcentaje de organismos garantes que orientan y promueven acciones en sus sujetos obligados
en materia de protección de datos personales
EJE Acciones preventivas en materia de protección de datos personales
OBJETIVO Generar acciones y herramientas de facilitación para el ejercicio y tutela del derecho a la
protección de datos personales en todo el país
DESCRIPCIÓN GENERAL Medir la cobertura de organismos garantes a nivel nacional que promueven acciones en los
sujetos obligados para mantener medidas de seguridad en el tratamiento de datos personales
MÉTODO DE CÁLCULO
{ ∑ 𝑛𝐴𝑐𝑐𝑖𝑖
1033
} 𝑋100
Donde:
nAcc, se refiere al número de acciones i que los Organismos Garantes realizaron con sus
responsables, y que fueron reportados en el CNTAID.
i: incluye las siguientes diez acciones:
1. Creación de políticas internas para la gestión y tratamiento de los datos personales
2. Definición de las funciones y obligaciones del personal involucrado en el tratamiento de datos
personales
3. Elaboración de un inventario de datos personales
4. Elaboración de sistemas de tratamiento de datos personales
5. Realización de análisis de riesgos de los datos personales
6. Realización de análisis de brecha, comparando las medidas de seguridad existentes
7. Elaboración de un Plan de Trabajo para la implementación de medidas de seguridad
8. Elaboración de un aviso de privacidad para informar el propósito del tratamiento de datos
personales
9. Monitoreo y revisión de las medidas implementadas
10. Diseño y aplicación de diferentes niveles de capacitación del personal
PERIODICIDAD Anual
MEDIOS DE VERIFICACIÓN INEGI. Censo Nacional de Transparencia, Acceso a la Información y Protección de Datos (CNTAID)
89
ACTORES VINCULADOS CON EL
INDICADOR Integrantes del SNT
LÍNEA BASE
62.12%
CNTAID 2017
*Un valor aproximado de este indicador bajo el nuevo método de cálculo es: 51.5%, mismo que
debe ser utilizado como referencia. Valor 2018 con nuevo método de cálculo 44.24%
META 2018 (CNTAID 2019) 69.69%
META 2019 (CNTAID 2020) 72.72%
META 2020 (CNTAID 2021) 84.84%
META 2021 (CNTAID 2022) 92.42%
META 2022 (CNTAID 2023) 100%
[Ficha modificada conforme Actualización 2019 y 2020]
90
FICHA INDICADOR
Elemento Característica
INDICADOR Porcentaje de materias de protección de datos personales cubiertas por los integrantes del SNT en
toda su normatividad a expedir derivada de la LGPDPPSO
EJE Perspectiva normativa con enfoque de política pública
OBJETIVO Elaborar y expedir normatividad secundaria útil y suficiente
DESCRIPCIÓN GENERAL Medir la efectividad de los esfuerzos de los organismos garantes para la expedición de la
normatividad secundaria en las distintas materias que derivan de la promulgación de la LGPDPPSO.
MÉTODO DE CÁLCULO
{𝑀𝑂𝐺
𝑀𝑇𝑂𝑇𝐴𝐿𝐸𝑆} 𝑋100
Donde:
MOG, se refiere al número de materias de protección de datos personales cubiertas por la totalidad
de los integrantes del SNT en la normatividad a expedir derivada de la LGPDPPSO MTOTALES, se refiere
al número total de materias derivadas de la LGPDPPSO en las que se debe emitir normatividad
secundaria por parte de los organismos garantes.
PERIODICIDAD Anual
MEDIOS DE VERIFICACIÓN Información remitida por los organismos garantes al Secretariado Ejecutivo del SNT
ACTORES VINCULADOS CON EL
INDICADOR Organismos garantes
LÍNEA BASE
No disponible.
*Al ser un indicador de nueva creación la línea base estará disponible a partir de la primera medición
que se realice. Conforme al seguimiento realizado por el Secretariado Ejecutivo del SNT
META 2018 Establecimiento de las materias normativas sobre las que se desarrollarán los instrumentos
normativos
META 2019 Definición de Línea Base del Indicador (año t)
META 2020 Ascendente, 0.1 a 5% de crecimiento (sobre año t)
META 2021 Ascendente, 0.1 a 5% de crecimiento (sobre año t + 1)
META 2022 Ascendente, 0.1 a 5% de crecimiento (sobre año t + 2)
91
FICHA INDICADOR
Elemento Característica
INDICADOR Porcentaje de quejas por mal uso de datos personales presentadas ante instituciones públicas
que reciben los organismos garantes
EJE Perspectiva normativa con enfoque de política pública
OBJETIVO Establecer las bases y mecanismos para que los organismos garantes ejerzan adecuadamente
sus nuevas atribuciones derivadas de la LGPDPPSO o de las leyes estatales en la materia
MÉTODO DE CÁLCULO
{𝑄𝐼𝑁𝐴𝐼 + 𝑄𝑂𝐺𝐸𝐹
𝑄𝑇𝑂𝑇𝐴𝐿𝐸𝑆
} 𝑋100
Donde:
QINAI, se refiere al total de población de 18 años estimada por la ENAID y más que presentó
una queja por el uso indebido de datos personales ante el INAI.
QOGEF, se refiere al total de población de 18 años estimada por la ENAID y más que presentó
una queja por el uso indebido de datos personales ante algún organismo garante de las
entidades federativas.
QTOTALES, se refiere al total de población de 18 años estimada por la ENAID y más que presentó
una queja por el uso indebido de datos personales ante alguna institución pública.
PERIODICIDAD Trienal.
MEDIOS DE VERIFICACIÓN INEGI. Encuesta Nacional de Acceso a la Información Pública y Protección de Datos Personales
(ENAID)
ACTORES VINCULADOS CON
EL INDICADOR Integrantes del SNT
LÍNEA BASE
2016: INAI 10%.
* INAI incluye las respuestas "IFAI" e "Instituto de acceso a la información o transparencia".
META 2019 (ENAID 2019) INAI Ascendente, 0.1 a 3% de crecimiento (sobre año t+3)
META 2023
(ENAID 2023) INAI Ascendente, 0.1 a 3% de crecimiento (sobre año t + 6)
* Los organismos garantes Locales aspirarán a recibir un porcentaje significativo que los haga
incluirse entre las respuestas del levantamiento de la ENAID inmediato posterior a 2022.
[Ficha modificada conforme Actualización 2020]
92
FICHA INDICADOR16
Elemento Característica
INDICADOR Número de resoluciones de los organismos garantes locales con recurso de inconformidad
para su revisión por el INAI
EJE Perspectiva normativa con enfoque de política pública
OBJETIVO Construir un mecanismo de revisión efectivo y solidario para los organismos garantes de las
entidades federativas y el INAI
DESCRIPCIÓN GENERAL
Medir la efectividad de la colaboración entre los organismos garantes locales y el INAI para
generar un mecanismo de revisión efectivo y solidario, reflejado en un número estable y
adecuado de asuntos revisados
PERIODICIDAD Anual
MEDIOS DE VERIFICACIÓN Información de la Secretaría Técnica del Pleno del INAI
RESPONSABLES Organismos garantes
LÍNEA BASE
No disponible.
*Al ser un indicador de nueva creación la línea base estará disponible a partir de la primera
medición que se realice
META 2018 Constante, +/- 15% (sobre año t)
META 2019 Constante, +/- 15% (sobre año t)
META 2020 Constante, +/- 15% (sobre año t)
META 2021 Constante, +/- 15% (sobre año t)
META 2022 Constante, +/- 15% (sobre año t)
16 Este indicador carece de método de cálculo al tratarse de un número natural
93
Fuentes de los indicadores
Para la recolección de la información que permita construir los indicadores presentados, se ha
privilegiado la existencia de fuentes externas de información como el CNTAIP o la ENAID. Sin
embargo, resulta imposible capturar la totalidad de los resultados esperados por el PRONADATOS
con estos instrumentos17. Es así que el Secretariado Ejecutivo del SNT solicitará anualmente una
serie acotada y suficiente de datos que permitan dar seguimiento a los indicadores que marcan en
el campo “MEDIOS DE VERIFICACIÓN” la leyenda: “Información remitida por los organismos garantes al
Secretariado Ejecutivo del SNT”.
Con esta perspectiva en mente se propone la inclusión del siguiente aviso en las fichas de
indicadores a incluir en el PRONADATOS:
“Aviso pertinente:
Algunas de estas mediciones y seguimientos son innovaciones que deben ser incluidas en el
desarrollo de las actividades y procesos que se implementen a partir de este Programa y las
obligaciones que en materia de protección de datos personales impone la LGPDPPSO tanto a
responsables (sujetos obligados) como a organismos garantes e instituciones integrantes del SNT. En
este sentido, cabe la posibilidad de que algunas de las mediciones no sean precisas en sus primeros
levantamientos y las cifras no sean comparables con mediciones posteriores cuando los procesos
hayan madurado institucionalmente. Sirva este aviso para justificar ajustes a los procesos de
seguimiento, no así para exonerar a los responsables de estos procesos de su correspondiente
levantamiento con las mejores metodologías que estén a su alcance.”
ii) Fichas de indicadores para las líneas estratégicas transversales
Referente a los indicadores de las líneas estratégicas transversales A, B y C se ha realizado un único
ajuste, el indicador de la línea estratégica “Fortalecimiento presupuestal” que se había propuesto
como “Índice de recursos públicos asignados a los organismos garantes para garantizar el derecho
a la protección de datos personales en el país” se cambió a “Tasa promedio de crecimiento
presupuestal de los organismos garantes del país”. Esta propuesta se realiza para contar con una
medida más clara y certera de la evolución del tema presupuestal entre los organismos garantes de
las entidades federativas.
El indicador de la línea estratégica transversal B se modificó en su método de cálculo; así como, al
origen de su fuente derivado de los ajustes realizados por el INEGI a los cuestionarios del Censo
Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales.
[Párrafo añadido conforme Actualización 2019]
17 Basados en los cuestionarios de los levantamientos 2016 y 2017 del CNTAIP y la ENAID
94
Derivado del ajuste realizado en la línea estratégica transversal C para considerarla como “Proyecto
de Fortalecimiento Presupuestal para los Organismos Garantes de las Entidades Federativas”, se
eliminó el indicador Tasa promedio de crecimiento presupuestal de los organismos garantes del país
[Párrafo añadido conforme Actualización 2020]
Las fichas de los indicadores propuestos de las líneas estratégicas transversales A y B se presentan
a continuación:
[Párrafo modificado conforme Actualización 2020]
FICHA INDICADOR
TRANSVERSAL A
Elemento Característica
INDICADOR Índice de actividades y acciones para la sensibilización, promoción, difusión y socialización
en materia de protección de datos personales en las entidades federativas
LÍNEA ESTRATÉGICA
TRANSVERSAL Sensibilización, promoción, difusión y socialización
DESCRIPCIÓN GENERAL
Mide de forma conjunta la realización de los organismos garantes de las Entidades
Federativas de actividades y acciones dirigidas a las y los titulares para promover el
derecho a la protección de datos personales
MÉTODO DE CÁLCULO
{
∑ 𝑛𝐴𝑐𝑐𝑖𝑖
288+
∑ 𝑛𝐴𝑐𝑡𝑖𝑖
192
2} 𝑋100
Donde:
nAcci se refiere al número de acciones que promovía el organismo garante i para crear una
cultura de protección de datos personales entre: Promover y difundir el ejercicio del
derecho a la protección de datos personales; Elaborar y publicar estudios e investigaciones
para difundir y ampliar el conocimiento sobre la protección del derecho a la protección de
datos personales; Llevar a cabo acciones y actividades que promuevan el conocimiento del
derecho a la protección de datos personales, así como de sus prerrogativas; Promover la
capacitación y actualización en materia de protección de datos personales entre los
responsables; Promover que en los programas y planes de estudio, libros y materiales que
se utilicen en instituciones educativas, se incluyan contenidos sobre el derecho a la
protección de datos personales, así como una cultura sobre el ejercicio y respeto de éste;
Impulsar en conjunto con instituciones de educación superior, la integración de centros de
investigación, difusión y docencia sobre el derecho a la protección de datos personales
que promuevan su conocimiento y coadyuven con el Organismo Garante; Fomentar la
creación de espacios de participación social que estimulen el intercambio de ideas entre la
sociedad, los organismos de representación ciudadana y los responsables de la protección
95
de datos personales; Desarrollar estrategias para fomentar la igualdad y no discriminación
en las acciones de promoción del ejercicio de protección de datos personales; u Otra
nActi se refiere al número de actividades (dirigidas al público) utilizadas por el organismo
garante i para la promoción del derecho a la protección de datos personales entre:
Capacitación específica en el tema del derecho a la protección de datos personales;
Exposiciones en materia del derecho a la protección de datos personales; Convocatorias
para participar en retos públicos en materia de protección de datos personales; Jornadas y
mesas de trabajo en el tema de protección de datos personales; Jornadas y mesas de
trabajo para promover la igualdad y no discriminación en el ejercicio del derecho a la
protección de datos personales; u Otro tipo de actividad
i incluye a los organismos garantes de las entidades federativas
PERIODICIDAD Anual
MEDIOS DE VERIFICACIÓN INEGI. Censo Nacional de Transparencia, Acceso a la Información y Protección de Datos
(CNTAID)
ACTORES VINCULADOS CON
EL INDICADOR Organismos garantes de las entidades federativas
LÍNEA BASE 2017:
0.3732 Línea Base
META 2018 (CNTAID 2019) 0.3919
META 2019 (CNTAID 2020) 0.4115
META 2020 (CNTAID 2021) 0.4320
META 2021 (CNTAID 2022) 0.4537
[Ficha modificada conforme Actualización 2020]
96
FICHA INDICADOR
TRANSVERSAL B
Elemento Característica
INDICADOR Índice de fortalezas institucionales en los organismos garantes
LÍNEA ESTRATÉGICA
TRANSVERSAL Fortalecimiento institucional
DESCRIPCIÓN GENERAL
Mide de forma conjunta la existencia de elementos de planeación, elementos para la
protección de datos personales y disposiciones normativas administrativas; componentes que
al encontrarse en los organismos garantes denotan desarrollo institucional
MÉTODO DE CÁLCULO
{
∑ 𝑛𝐸𝑖𝑖
198+
∑ 𝑛𝐴𝑖𝑖
330+
𝑁𝑝33
3} 𝑋100
Donde:
nEi se refiere al número de elementos de planeación que existen en el organismo garante i de
entre: Misión, Visión, Objetivos, Metas, Indicadores de Gestión e Indicadores de Desempeño
nAi se refiere al número acciones que implementó el organismo garante para el tratamiento
de datos personales i de entre las siguientes diez:
1. Creación de políticas internas para la gestión y tratamiento de los datos personales
2. Definición de las funciones y obligaciones del personal involucrado en el tratamiento de
datos personales
3. Elaboración de un inventario de datos personales
4. Elaboración de sistemas de tratamiento de datos personales
5. Realización de análisis de riesgos de los datos personales
6. Realización de análisis de brecha, comparando las medidas de seguridad existentes
7. Elaboración de un Plan de Trabajo para la implementación de medidas de seguridad
8. Elaboración de un aviso de privacidad para informar el propósito del tratamiento de datos
personales
9. Monitoreo y revisión de las medidas implementadas
10. Diseño y aplicación de diferentes niveles de capacitación del personal
i incluye a los organismos garantes de las entidades federativas y al INAI
Np se refiere al número de organismos garantes que cuentan con un Plan o Programa
Estratégico o de trabajo
97
PERIODICIDAD Anual
MEDIOS DE VERIFICACIÓN
INEGI. Censo Nacional de Transparencia, Acceso a la Información y Protección de Datos
(CNTAID)
Información remitida por los organismos garantes al Secretariado Ejecutivo del SNT
ACTORES VINCULADOS CON
EL INDICADOR Organismos garantes
LÍNEA BASE 2017:
0.7168 Línea Base
META 2018
(CNTAID 2019) 0.7526
*A partir de este año, el valor del indicador fue calculado de acuerdo a la modificación
aprobada. Para más información consultar la nota metodológica. Valor 2018 con nuevo
método de cálculo 0.7168%
META 2019 (CNTAID 2020) 0.7903
META 2020 (CNTAID 2021) 0.8298
META 2021 (CNTAID 2022) 0.8713
[Ficha modificada conforme Actualización 2019 y 2020]
NOTA METODOLÓGICA
En el diseño de los Programas Nacionales del Sistema Nacional de Transparencia (SNT) —Programa Nacional de Transparencia y Acceso a la Información 2017-2021 (PROTAI), y Programa Nacional de Protección de Datos Personales 2018-2022 (PRONADATOS)— se consideró la existencia de indicadores, con el propósito de tener comparaciones periódicas de los avances y de los resultados obtenidos con la ejecución de dichos Programas. Los indicadores toman como una de sus fuentes el Censo Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (CNTAIPDP). Derivado de las modificaciones en la estructura del CNTAIPDP 2020, se eliminaron los reactivos relacionados al indicador Índice de fortalezas Institucionales del PRONADATOS. En un primer momento, el método de cálculo de este indicador se estableció como:
{
∑ 𝑛𝐸𝑖𝑖198 +
∑ 𝑛𝑃𝑖𝑖165
+𝑁𝑑33
3} 𝑋100
Donde:
98
• nEi se refería al número de elementos de planeación que existen en el organismo garante i de entre: Misión, Visión, Objetivos, Metas, Indicadores de Gestión e Indicadores de Desempeño
• nPi se refería al número de elementos para la protección de datos personales que existen en el organismo garante i de entre: 1) Área encargada de implementar y vigilar la implementación de la política de protección
de datos personales al interior del organismo 2) Área encargada de desarrollar políticas públicas de protección de datos personales
hacia el exterior del organismo 3) Inventario de los datos personales que se encuentran en su posesión 4) Identificación de los procesos o procedimientos internos en los que se lleva a cabo el
tratamiento de datos personales 5) Procedimiento de verificación interno para revisar que los datos personales se traten
de manera adecuada o i incluye a los organismos garantes de las entidades federativas y al INAI
• Nd se refiere al número de organismos garantes que cuentan con disposiciones normativas internas vigentes sustantivas y administrativas
Dado que el reactivo asociado al número de elementos de planeación que existen en el organismo garante (nEi) fue eliminado en el ejercicio 2020 del CNTAIPDP, la Secretaría Ejecutiva del Sistema Nacional de Transparencia solicitará a los Organismos Garantes la información referente a esta variable, a través del levantamiento anual de los indicadores. Para las variables asociadas a los elementos de protección de datos personales (nPi) y a la existencia de normatividad vigente en la materia (Nd), pese a que las preguntas fueron eliminadas del Censo, se identificó que los nuevos reactivos ofrecen opciones para medir los resultados de las acciones en el marco de PRONADATOS. Motivo por el cual las variables se ajustarán para tener una aproximación a la medición y alcance del CNTAIPDP. De esta manera, el método de cálculo se modificará para quedar establecido como se indica a continuación:
{
∑ 𝑛𝐸𝑖𝑖198 +
∑ 𝑛𝐴𝑖𝑖330 +
𝑁𝑝33
3} 𝑋100
Donde:
• nEi se refiere al número de elementos de planeación que existen en el organismo garante i de entre: Misión, Visión, Objetivos, Metas, Indicadores de Gestión e Indicadores de Desempeño
• nAi se refiere al número acciones que implementó el organismo garante para el tratamiento de datos personales i de entre las siguientes diez:
1) Creación de políticas internas para la gestión y tratamiento de los datos personales 2) Definición de las funciones y obligaciones del personal involucrado en el
tratamiento de datos personales 3) Elaboración de un inventario de datos personales 4) Elaboración de sistemas de tratamiento de datos personales
99
5) Realización de análisis de riesgos de los datos personales 6) Realización de análisis de brecha, comparando las medidas de seguridad existentes 7) Elaboración de un Plan de Trabajo para la implementación de medidas de seguridad 8) Elaboración de un aviso de privacidad para informar el propósito del tratamiento
de datos personales 9) Monitoreo y revisión de las medidas implementadas 10) Diseño y aplicación de diferentes niveles de capacitación del personal
o i incluye a los organismos garantes de las entidades federativas y al INAI
• Np se refiere al número de organismos garantes que cuentan con un Plan o Programa Estratégico o de trabajo
[Párrafos añadidos conforme Actualización 2019]
100
Reconocimiento inicial de datos presupuestales desagregados para
la protección de datos personales entre los organismos garantes del
país Al realizar el análisis de los indicadores de la sección la sección VII. Indicadores generales y
transversales del PRONADATOS referentes a la identificación de esfuerzos presupuestales
específicos en cada uno de los temas de PRONADATOS, siendo estos:
- Presupuesto asignado a cada organismo garante, para la implementación de Programas de
Educación y Cultura de Protección de Datos Personales
- Proporción de efectividad del presupuesto en la progresividad de los derechos ARCO y la
portabilidad
- Porcentaje del Presupuesto destinado a capacitación de Sujetos Obligados por los
organismos garantes, en materia de protección de datos personales
- Porcentaje del presupuesto asignado a los sujetos obligados (responsables) destinado a la
implementación y mantenimiento de un sistema de gestión de seguridad para la protección
de datos personales
- Porcentaje de los recursos económicos de organismos garantes que aplican para la
generación de incentivos que permitan a los responsables adoptar mejores prácticas en la
materia
- Porcentaje de los recursos económicos de organismos garantes que aplican mecanismos
para conocer el estado actual de los responsables (sujetos obligados) en el cumplimiento de
sus obligaciones en la materia
- Porcentaje de recursos económicos destinados por los organismos garantes para la
implementación de acciones y herramientas que faciliten a los responsables la protección
de los datos personales
- Porcentaje del impacto en el marco normativo secundario con la asignación presupuestal
tanto a nivel local como federal
Se han tenido en cuenta las siguientes consideraciones:
- La información necesaria para alimentar este tipo de indicadores corresponde a una
desagregación presupuestal para los organismos garantes
- Una desagregación presupuestal de este estilo no existe entre los organismos garantes del
país
- La información que éste tipo de desagregación presupuestal puede generar es valiosa para
su análisis
- No hay certezas sobre las principales actividades que se emprenderán ante las nuevas
atribuciones en materia de protección de datos personales por parte de los organismos
garantes de las entidades federativas
- No se cuenta con la seguridad de que el presupuesto tenga un seguimiento similar en su
destino entre los organismos garantes
101
- Actualmente el CNTAID18 da seguimiento presupuestal por momentos del proceso
presupuestal (solicitado, autorizado y ejercido) y de manera general por objeto de gasto
(capítulos)
Ante estas consideraciones, se ha tomado la decisión de sustituir los mencionados indicadores por
el establecimiento de un reconocimiento inicial de datos presupuestales desagregados para la
protección de datos personales entre los organismos garantes del país. La información que derive
de este ejercicio permitirá avanzar en el desarrollo de un diagnóstico para identificar las necesidades
prioritarias que deban ser cubiertas para hacer equitativa la atención y garantía del derecho de
protección de datos personales en el país para cada organismo garante. Este diagnóstico, al cual
abona este reconocimiento inicial, está en concordancia con las acciones que ha establecido el
PRONADATOS como necesarias para sumar en los esfuerzos de fortalecimiento presupuestal.
Para llegar al desarrollo de una metodología de desagregación de recursos que cuente con atributos
de utilidad, confiabilidad, veracidad, representatividad, objetividad, verificabilidad, suficiencia,
relevancia, comprensibilidad y comparabilidad; se hace necesario contar con la participación
conjunta de los 33 organismos garantes del país. Éste esfuerzo es de largo aliento y en ese sentido
es que se propone comenzar con un reconocimiento inicial de datos presupuestales desagregados
para la protección de datos personales entre los organismos garantes del país.
Ésta exploración inicial consistirá en solicitar a los organismos garantes el presupuesto que ha
destinado durante el año para actividades de Protección de Datos Personales. Ésta cifra se solicitará
desagregada en las categorías de actividades que se consideren pertinentes por el organismo
garante, por ejemplo: capacitaciones, actividades de promoción, desarrollo de materiales
informativos, impresión de guías, etc. Estas categorías deberán ser aquellas que sean de fácil
seguimiento y reporte al interior del organismo garante, para no generar una onerosa carga de
trabajo al interior de la institución. Así mismo, estas categorías deben ser pertinentes y hacer
sentido al interior de las áreas que realizaron las actividades en materia de protección de datos.
Para el seguimiento y cálculo de las cifras requeridas, de forma inicial, se sugiere:
- Tomar en consideración todos los gastos asociados al desarrollo de las actividades
indicadas, en la medida de lo que es posible. Por ejemplo, podría ser posible distinguir el
gasto en gasolina para trasladar capacitadores en materia de protección de datos
personales, sin embargo no sería posible distinguir su proporción del gasto en energía
eléctrica.
- Realizar ponderaciones pertinentes. Por ejemplo, si al revisar el temario de una jornada de
sensibilización se encuentra que ésta ha abarcado temas de protección de datos y de
transparencia, asignar la fracción del costo de la mencionada jornada, según la relevancia
del tema de protección de datos personales dentro de la misma.
- Evitar duplicidades. Es muy importante intentar distinguir cada actividad, su finalidad y
cómo ésta abona a la consecución de los objetivos planteados por el PRONADATOS en cada
18 Basados en el cuestionario del levantamiento 2017
102
uno de sus ejes, esto permitirá no contabilizar dos veces el recurso presupuestario de una
misma actividad.
- Tener presente que este ejercicio no tiene precedente. No es recomendable referirnos a
otro tipo de desagregaciones presupuestales (funcional, administrativa, económica, etc.)
debido a que este es un ejercicio nuevo que busca establecer una nueva dinámica de análisis
para los recursos de los organismos garantes.
- Mantener el rigor del ejercicio. Aun cuando se trate de un ejercicio exploratorio y sus
primeros levantamientos sirvan para ajustar, acotar y, en términos generales, mejorar el
ejercicio de levantamiento de datos presupuestales desagregados; se requiere que el
ejercicio sea realizado a cabalidad para poder avanzar con certeza en este proyecto.
Junto con las cifras que se van a solicitar se requerirá una batería de preguntas cualitativas sobre el
proceso de recolección de datos que permitan atender las consideraciones más relevantes de los
involucrado en la generación, compilación, análisis y reporte de la información presupuestal.
Los datos que arroje este reconocimiento inicial, no tendrán un carácter oficial, ni serán
vinculatorios para los organismos garantes que los remitan. La naturaleza de las cifras será
indicativa, ésta información permitirá realizar análisis iniciales que abonen a la construcción del
diagnóstico de necesidades presupuestarias. Ésta información en su carácter de exploratoria no
tendrá repercusión en el proceso de actualización anual del PRONADATOS.
A partir de la información que se obtenga al analizar los datos del primer levantamiento, los
posteriores contarán con detalles que permitan mayor precisión, como una serie de categorías
comunes que hagan sentido a los organismos garantes. Igualmente, estos levantamientos tenderán
a sofisticarse para lograr reconocer la finalidad y/o temática de la protección de datos personales a
la que aporta el ejercicio de los recursos identificados. Se considerará al avanzar en estos
levantamientos el lograr identificar información que permita análisis más sofisticados con capítulos
de gasto, programas presupuestarios o metas de planeación. Estas mejoras, y el avance en las
mismas, dependerán de los resultados que se obtengan en cada levantamiento en un proceso de
mejora constante.
Para el levantamiento de esta información, el Grupo de Implementación de PRONADATOS instruirá
al Secretariado Ejecutivo remitir una solicitud a los enlaces para la implementación de PRONADATOS
de los 33 organismos garantes del país. La solicitud será para que envíen la información presupuestal
desagregada al Secretariado Ejecutivo del SNT. El Secretariado Ejecutivo compilará la información
que reciba de los enlaces, junto con la información de los indicadores que no es obtenida por el
CNTAIP, la ENAID u otras fuentes externas. El Secretariado Ejecutivo realizará los análisis necesarios
para que, en conjunto con la información cualitativa que se recolecte, se puedan tomar las medidas
necesarias para precisar y mejorar los subsecuentes levantamientos. Las mejoras para el
levantamiento de la información presupuestal desagregada para las actividades de protección de
datos personales serán determinadas por el Grupo de Implementación de PRONADATOS.
FEDERICO GUZMÁN TAMAYO, EN MI CARÁCTER DE SECRETARIO EJECUTIVO DEL
SISTEMA NACIONAL DE TRANSPARENCIA, CON FUNDAMENTO EN LOS ARTÍCULOS
31, FRACCIÓN XI DE LA LEY GENERAL DE TRANSPARENCIA ACCESO A LA
INFORMACIÓN PÚBLICA Y 13, FRACCIONES VII Y VIII DEL REGLAMENTO DEL
CONSEJO NACIONAL DEL SISTEMA NACIONAL DE TRANSPARENCIA, ACCESO A LA
INFORMACIÓN PÚBLICA Y PROTECCIÓN DE DATOS PERSONALES; ASÍ COMO EN
LO ORDENADO EN EL PUNTO DE ACUERDO TERCERO, DEL ACUERDO
CONAIP/SNT/ACUERDO/EXT01-05/11/2020-05, CERTIFICO: QUE EL PRESENTE
DOCUMENTO ES FIEL Y EXACTA REPRODUCCIÓN DEL CITADO ACUERDO
CONAIP/SNT/ACUERDO/EXT01-05/11/2020-05 Y DE SU ANEXO, APROBADO EN LA
PRIMERA SESIÓN EXTRAORDINARIA DE 2020, DEL CONSEJO NACIONAL DEL
SISTEMA NACIONAL DE TRANSPARENCIA, ACCESO A LA INFORMACIÓN PÚBLICA Y
PROTECCIÓN DE DATOS PERSONALES, CELEBRADA EL 05 DE NOVIEMBRE DE
2020, MISMO QUE SE EXPIDE EN UN TOTAL DE 135 FOJAS ÚTILES.------------------------
------------------------------------------------------------------------------------------------------------------------
MÉXICO, CIUDAD DE MÉXICO, A 17 DE NOVIEMBRE DE DOS MIL VEINTE.